Bekijk of bewerk uw beveiligingsbeleid van de volgende generatie in Microsoft Defender voor Bedrijven

Artikel
04/26/2024

In Defender voor Bedrijven omvat beveiliging van de volgende generatie robuuste antivirus- en antimalwarebeveiliging voor computers en mobiele apparaten. Standaardbeleid met aanbevolen instellingen is opgenomen in Defender voor Bedrijven. Het standaardbeleid is ontworpen om uw apparaten en gebruikers te beschermen zonder de productiviteit te belemmeren. U kunt uw beleid echter aanpassen aan de behoeften van uw bedrijf.

U kunt kiezen uit verschillende opties voor het beheren van uw beveiligingsbeleid van de volgende generatie:

Gebruik de Microsoft Defender portal op https://security.microsoft.com (aanbevolen als u de zelfstandige versie van Defender voor Bedrijven gebruikt zonder Intune); of
Gebruik het Microsoft Intune-beheercentrum op https://intune.microsoft.com (beschikbaar als uw abonnement Intune bevat)

Microsoft Defender-portal
Intune beheercentrum

Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.
Ga in het navigatiedeelvenster naar Configuratiebeheer>Apparaatconfiguratie. Beleidsregels zijn ingedeeld op besturingssysteem en beleidstype.
Selecteer een besturingssysteemtabblad (zoals Windows).
Vouw Beveiliging van de volgende generatie uit om uw lijst met beleidsregels weer te geven. Er wordt minimaal een standaardbeleid met aanbevolen instellingen weergegeven. Dit standaardbeleid wordt toegewezen aan alle onboarded apparaten met het besturingssysteem dat u in de vorige stap hebt geselecteerd (zoals Windows). U kunt:
- Uw standaardbeleid behouden zoals momenteel is geconfigureerd.
- Bewerk uw standaardbeleid om de benodigde aanpassingen aan te brengen.
- Een nieuw beleid maken.

Gebruik een van de procedures in de volgende tabel:

Taak	Procedure
Uw standaardbeleid bewerken	1. Selecteer in de sectie Beveiliging van de volgende generatie uw standaardbeleid en kies vervolgens Bewerken. 2. Bekijk de informatie in de stap Algemene informatie . Bewerk zo nodig de beschrijving en selecteer volgende. 3. Gebruik in de stap Apparaatgroepen een bestaande groep of stel een nieuwe groep in. Kies dan Volgende. 4. Controleer in de stap Configuratie-instellingen uw beveiligingsinstellingen en bewerk indien nodig uw beveiligingsinstellingen en kies vervolgens Volgende. Zie Beveiligingsinstellingen en -opties van de volgende generatie (in dit artikel) voor meer informatie over de instellingen. 5. Controleer uw huidige instellingen in de stap Uw beleid controleren. Selecteer Bewerken om de benodigde wijzigingen aan te brengen. Selecteer vervolgens Beleid bijwerken.
Een nieuw beleid maken	1. Selecteer toevoegen in de sectie Beveiliging van de volgende generatie. 2. Geef in de stap Algemene informatie een naam en beschrijving op voor uw beleid. U kunt ook een beleidsvolgorde behouden of wijzigen (zie Beleidsvolgorde in Microsoft Defender voor Bedrijven). Selecteer Volgende. 3. In de stap Apparaatgroepen kunt u een bestaande groep gebruiken of een nieuwe groep maken (zie Apparaatgroepen in Microsoft Defender voor Bedrijven). Kies dan Volgende. 4. Controleer en bewerk uw beveiligingsinstellingen in de stap Configuratie-instellingen en kies vervolgens Volgende. Zie Beveiligingsinstellingen en -opties van de volgende generatie (in dit artikel) voor meer informatie over de instellingen. 5. Controleer uw huidige instellingen in de stap Uw beleid controleren. Selecteer Bewerken om de benodigde wijzigingen aan te brengen. Selecteer vervolgens Creatie beleid.

Taak

Procedure

Uw standaardbeleid bewerken

1. Selecteer in de sectie Beveiliging van de volgende generatie uw standaardbeleid en kies vervolgens Bewerken.

2. Bekijk de informatie in de stap Algemene informatie . Bewerk zo nodig de beschrijving en selecteer volgende.

3. Gebruik in de stap Apparaatgroepen een bestaande groep of stel een nieuwe groep in. Kies dan Volgende.

4. Controleer in de stap Configuratie-instellingen uw beveiligingsinstellingen en bewerk indien nodig uw beveiligingsinstellingen en kies vervolgens Volgende. Zie Beveiligingsinstellingen en -opties van de volgende generatie (in dit artikel) voor meer informatie over de instellingen.

5. Controleer uw huidige instellingen in de stap Uw beleid controleren. Selecteer Bewerken om de benodigde wijzigingen aan te brengen. Selecteer vervolgens Beleid bijwerken.

Een nieuw beleid maken

1. Selecteer toevoegen in de sectie Beveiliging van de volgende generatie.

2. Geef in de stap Algemene informatie een naam en beschrijving op voor uw beleid. U kunt ook een beleidsvolgorde behouden of wijzigen (zie Beleidsvolgorde in Microsoft Defender voor Bedrijven). Selecteer Volgende.

3. In de stap Apparaatgroepen kunt u een bestaande groep gebruiken of een nieuwe groep maken (zie Apparaatgroepen in Microsoft Defender voor Bedrijven). Kies dan Volgende.

4. Controleer en bewerk uw beveiligingsinstellingen in de stap Configuratie-instellingen en kies vervolgens Volgende. Zie Beveiligingsinstellingen en -opties van de volgende generatie (in dit artikel) voor meer informatie over de instellingen.

5. Controleer uw huidige instellingen in de stap Uw beleid controleren. Selecteer Bewerken om de benodigde wijzigingen aan te brengen. Selecteer vervolgens Creatie beleid.

Beveiligingsinstellingen en -opties van de volgende generatie

De volgende tabel bevat instellingen en opties voor beveiliging van de volgende generatie in Defender voor Bedrijven.

Instelling	Beschrijving
Realtime-beveiliging
Realtime-beveiliging inschakelen	Realtime-beveiliging is standaard ingeschakeld en voorkomt dat malware op apparaten wordt uitgevoerd. We raden u aan realtime-beveiliging ingeschakeld te houden. Wanneer realtime-beveiliging is ingeschakeld, worden de volgende instellingen geconfigureerd: - Gedragscontrole is ingeschakeld (AllowBehaviorMonitoring). - Alle gedownloade bestanden en bijlagen worden gescand (AllowIOAVProtection). - Scripts die worden gebruikt in Microsoft-browsers worden gescand (AllowScriptScanning).
Blokkeren bij eerste aanblik	Blokkeren bij eerste detectie is standaard ingeschakeld en blokkeert malware binnen enkele seconden na detectie, verhoogt de tijd (in seconden) die is toegestaan om voorbeeldbestanden in te dienen voor analyse en stelt uw detectieniveau in op Hoog. We raden u aan blok bij eerste detectie ingeschakeld te houden. Wanneer blokkeren bij eerste detectie is ingeschakeld, worden de volgende instellingen voor Microsoft Defender Antivirus geconfigureerd: - Het blokkeren en scannen van verdachte bestanden is ingesteld op hoog blokkeringsniveau (CloudBlockLevel). - Het aantal seconden dat een bestand moet worden geblokkeerd en gecontroleerd, is ingesteld op 50 seconden (CloudExtendedTimeout). Belangrijk Als blokkeren bij eerste gezichtsvermogen is uitgeschakeld, is dit van invloed op `CloudBlockLevel` en `CloudExtendedTimeout` voor Microsoft Defender Antivirus.
Netwerkbeveiliging inschakelen	Netwerkbeveiliging is standaard ingeschakeld in de modus Blokkeren en beschermt tegen phishing-oplichting, exploit-hostingsites en schadelijke inhoud op internet. Het voorkomt ook dat gebruikers netwerkbeveiliging uitschakelen. Netwerkbeveiliging kan worden ingesteld op de volgende modi: - De blokmodus is de standaardinstelling. Hiermee voorkomt u dat gebruikers sites bezoeken die als onveilig worden beschouwd. We raden u aan netwerkbeveiliging ingesteld te houden op de modus Blokkeren. - Met de controlemodus kunnen gebruikers sites bezoeken die mogelijk onveilig zijn en kunnen ze netwerkactiviteiten van/naar dergelijke sites volgen. - De uitgeschakelde modus blokkeert noch dat gebruikers sites bezoeken die mogelijk onveilig zijn, en houdt netwerkactiviteiten bij van/naar dergelijke sites.
Herstellen
Actie voor mogelijk ongewenste apps (PUA)	Pua-beveiliging blokkeert standaard items die zijn gedetecteerd als PUA. PUA kan reclamesoftware bevatten; bundelingssoftware die aanbiedt om andere, niet-ondertekende software te installeren; en ontwijkingssoftware die probeert beveiligingsfuncties te omzeilen. Hoewel PUA niet noodzakelijkerwijs een virus, malware of een ander type bedreiging is, kan het de prestaties van het apparaat beïnvloeden. U kunt PUA-beveiliging instellen op de volgende modi: - Ingeschakeld is de standaardinstelling. Hiermee worden items geblokkeerd die zijn gedetecteerd als PUA op apparaten. We raden u aan PUA-beveiliging ingeschakeld te houden. - De controlemodus voert geen actie uit op items die zijn gedetecteerd als PUA. - Uitgeschakeld detecteert of onderneemt geen actie op items die mogelijk pua zijn.
Scan
Gepland scantype	In de Quickscan-modus standaard ingeschakeld, kunt u een dag en tijd opgeven om wekelijkse antivirusscans uit te voeren. De volgende opties voor scantypen zijn beschikbaar: - Quickscan controleert locaties, zoals registersleutels en opstartmappen, waar malware kan worden geregistreerd om samen met een apparaat te starten. We raden u aan de quickscan-optie te gebruiken. - Fullscan controleert alle bestanden en mappen op een apparaat. - Uitgeschakeld betekent dat er geen geplande scans worden uitgevoerd. Gebruikers kunnen nog steeds scans uitvoeren op hun eigen apparaten. (Over het algemeen raden we u af om geplande scans uit te schakelen.) Meer informatie over scantypen.
Dag van de week om een geplande scan uit te voeren	Selecteer een dag waarop uw normale, wekelijkse antivirusscans moeten worden uitgevoerd.
Tijdstip waarop een geplande scan moet worden uitgevoerd	Selecteer een tijdstip waarop u regelmatig geplande antivirusscans wilt uitvoeren.
Lage prestaties gebruiken	Deze instelling is standaard uitgeschakeld. We raden u aan deze instelling uitgeschakeld te houden. U kunt deze instelling echter inschakelen om het geheugen en de resources van het apparaat te beperken die tijdens geplande scans worden gebruikt. Belangrijk Als u Lage prestaties gebruiken inschakelt, worden de volgende instellingen voor Microsoft Defender Antivirus geconfigureerd: - Archiefbestanden worden niet gescand (AllowArchiveScanning). - Scans krijgen een lage CPU-prioriteit (EnableLowCPUPriority). - Als een volledige antivirusscan wordt gemist, wordt er geen inhaalscan uitgevoerd (DisableCatchupFullScan). - Als een snelle antivirusscan wordt gemist, wordt er geen inhaalscan uitgevoerd (DisableCatchupQuickScan). - Vermindert de gemiddelde CPU-belastingsfactor tijdens een antivirusscan van 50 procent naar 20 procent (AvgCPULoadFactor).
Gebruikerservaring
Gebruikers toegang geven tot de Windows-beveiliging-app	Schakel deze instelling in om gebruikers in staat te stellen de Windows-beveiliging-app op hun apparaten te openen. Gebruikers kunnen instellingen die u in Defender voor Bedrijven configureert niet negeren, maar ze kunnen wel een snelle scan uitvoeren of gedetecteerde bedreigingen bekijken.
Antivirusuitsluitingen	Uitsluitingen zijn processen, bestanden of mappen die worden overgeslagen door Microsoft Defender Antivirus-scans. Over het algemeen hoeft u geen uitsluitingen te definiëren. Microsoft Defender Antivirus bevat veel automatische uitsluitingen die zijn gebaseerd op bekend gedrag van het besturingssysteem en typische beheerbestanden. Elke uitsluiting vermindert uw beveiligingsniveau, dus het is belangrijk om zorgvuldig te overwegen welke uitsluitingen moeten worden gedefinieerd. Zie Uitsluitingen beheren voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus voordat u uitsluitingen toevoegt.
Procesuitsluitingen	Procesuitsluitingen voorkomen dat bestanden die worden geopend door specifieke processen worden gescand door Microsoft Defender Antivirus. Wanneer u een proces toevoegt aan de lijst met procesuitsluitingen, scant Microsoft Defender Antivirus geen bestanden die door dat proces worden geopend, ongeacht waar de bestanden zich bevinden. Het proces zelf wordt gescand, tenzij het wordt toegevoegd aan de lijst met bestandsuitsluitingen. Zie Uitsluitingen configureren voor bestanden die zijn geopend door processen.
Uitsluitingen van bestandsextensies	Uitsluitingen van bestandsextensies voorkomen dat bestanden met specifieke extensies worden gescand door Microsoft Defender Antivirus. Zie Uitsluitingen configureren en valideren op basis van de bestandsextensie en maplocatie.
Uitsluitingen van bestanden en mappen	Uitsluitingen van bestanden en mappen voorkomen dat bestanden in specifieke mappen worden gescand door Microsoft Defender Antivirus. Zie Uitsluitingen van contextuele bestanden en mappen.

Andere vooraf geconfigureerde instellingen in Defender voor Bedrijven

De volgende beveiligingsinstellingen zijn vooraf geconfigureerd in Defender voor Bedrijven:

Scannen van verwisselbare stations is ingeschakeld (AllowFullScanRemovableDriveScanning).
Dagelijkse snelle scans hebben geen vooraf ingestelde tijd (ScheduleQuickScanTime).
Updates van beveiligingsinformatie worden gecontroleerd voordat een antivirusscan wordt uitgevoerd (CheckForSignaturesBeforeRunningScan).
Controles van beveiligingsinformatie vinden elke vier uur plaats (SignatureUpdateInterval).

Hoe de standaardinstellingen in Defender voor Bedrijven overeenkomen met de instellingen in Microsoft Intune

In de volgende tabel worden instellingen beschreven die vooraf zijn geconfigureerd voor Defender voor Bedrijven en hoe deze instellingen overeenkomen met wat u mogelijk ziet in Intune. Als u het vereenvoudigde configuratieproces in Defender voor Bedrijven gebruikt, hoeft u deze instellingen niet te bewerken.

Instelling	Beschrijving
Cloudbeveiliging	Cloudbeveiliging wordt ook wel cloudbeveiliging of Microsoft Advanced Protection Service (MAPS) genoemd, en werkt met Microsoft Defender Antivirus en de Microsoft-cloud om nieuwe bedreigingen te identificeren, soms zelfs voordat één apparaat wordt beïnvloed. AllowCloudProtection is standaard ingeschakeld. Meer informatie over cloudbeveiliging.
Bewaking voor binnenkomende en uitgaande bestanden	Als u binnenkomende en uitgaande bestanden wilt bewaken, is RealTimeScanDirection ingesteld op het bewaken van alle bestanden.
Netwerkbestanden scannen	AllowScanningNetworkFiles is standaard niet ingeschakeld en netwerkbestanden worden niet gescand.
E-mailberichten scannen	AllowEmailScanning is standaard niet ingeschakeld en e-mailberichten worden niet gescand.
Aantal dagen (0-90) om malware in quarantaine te houden	De instelling DaysToRetainCleanedMalware is standaard ingesteld op nul (0) dagen. Artefacten die zich in quarantaine bevinden, worden niet automatisch verwijderd.
Toestemming voor voorbeelden verzenden	SubmitSamplesConsent is standaard ingesteld op het automatisch verzenden van veilige voorbeelden. Voorbeelden van veilige voorbeelden zijn `.bat`, `.scr`, `.dll`en `.exe` bestanden die geen persoonlijk identificeerbare informatie (PII) bevatten. Als een bestand wel PII bevat, ontvangt de gebruiker een aanvraag om het indienen van het voorbeeld door te laten gaan. Meer informatie over cloudbeveiliging en het indienen van voorbeelden.
Verwisselbare stations scannen	AllowFullScanRemovableDriveScanning is standaard geconfigureerd voor het scannen van verwisselbare stations, zoals USB-sticks op apparaten. Meer informatie over instellingen voor antimalwarebeleid.
Dagelijkse snelle scantijd uitvoeren	ScheduleQuickScanTime is standaard ingesteld op 2:00 uur. Meer informatie over scaninstellingen.
Controleren op handtekeningupdates voordat u een scan uitvoert	CheckForSignaturesBeforeRunningScan is standaard geconfigureerd om te controleren op updates van beveiligingsinformatie voordat antivirus-/antimalwarescans worden uitgevoerd. Meer informatie over scaninstellingen en updates van beveiligingsinformatie.
Hoe vaak (0-24 uur) om te controleren op updates voor beveiligingsinformatie	SignatureUpdateInterval is standaard geconfigureerd om elke vier uur te controleren op updates van beveiligingsinformatie. Meer informatie over scaninstellingen en updates van beveiligingsinformatie.

Volgende stappen

Stel uw firewallbeleid en aangepaste regels voor firewallbeleid in.
Stel het filterbeleid voor webinhoud in en schakel webbeveiliging automatisch in.
Stel uw beleid voor beheerde mappentoegang in voor ransomware-beveiliging.
Schakel uw regels voor het verminderen van kwetsbaarheid voor aanvallen in.
Controleer de instellingen voor geavanceerde functies en de Microsoft Defender-portal.
Uw dashboard voor beveiligingsbeheer gebruiken in Microsoft Defender voor Bedrijven