Utvärdera Microsoft Defender Antivirus med powershell

Gäller för:

• Microsoft Defender Antivirus
• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2

I Windows 10 eller senare och Windows Server 2016 eller senare kan du använda nästa generations skyddsfunktioner som erbjuds av Microsoft Defender Antivirus (MDAV) och Microsoft Defender Exploit Guard (Microsoft Defender EG).

Det här avsnittet beskriver hur du aktiverar och testar viktiga skyddsfunktioner i Microsoft Defender AV och Microsoft Defender EG, och ger vägledning och länkar till mer information.

Vi rekommenderar att du använder det här PowerShell-skriptet för utvärdering för att konfigurera dessa funktioner, men du kan aktivera varje funktion individuellt med de cmdletar som beskrivs i resten av det här dokumentet.

Mer information om våra EPP-produkter finns i följande produktdokumentationsbibliotek:

• Microsoft Defender Antivirus
• Microsoft Defender Exploit Guard

I den här artikeln beskrivs konfigurationsalternativ i Windows 10 eller senare och Windows Server 2016 eller senare.

Om du har frågor om en identifiering som Microsoft Defender AV gör, eller om du upptäcker en missad identifiering, kan du skicka en fil till oss på vår hjälpwebbplats för exempelöverföring.

Använda PowerShell för att aktivera funktionerna

Den här guiden innehåller Microsoft Defender Antivirus-cmdletar som konfigurerar de funktioner som du bör använda för att utvärdera vårt skydd.

Så här använder du dessa cmdletar:

1. Öppna en upphöjd instans av PowerShell (välj Kör som administratör).

2. Ange kommandot i den här guiden och tryck på Retur.

Du kan kontrollera statusen för alla inställningar innan du börjar, eller under utvärderingen, med hjälp av PowerShell-cmdleten Get-MpPreference.

Microsoft Defender AV anger en identifiering via vanliga Windows-meddelanden. Du kan också granska identifieringar i Microsoft Defender AV-appen.

Windows-händelseloggen registrerar även identifierings- och motorhändelser. I artikeln Microsoft Defender Antivirushändelser finns en lista över händelse-ID:t och deras motsvarande åtgärder.

Molnskyddsfunktioner

Standarddefinitionsuppdateringar kan ta timmar att förbereda och leverera. vår molnlevererad skyddstjänst kan leverera det här skyddet på några sekunder.

Mer information finns i Använda nästa generations tekniker i Microsoft Defender Antivirus via molnlevererad skydd.

Beskrivning	PowerShell-kommando
Aktivera Microsoft Defender Cloud för nästan omedelbart skydd och ökat skydd	Set-MpPreference -MAPSReporting Avancerat
Skicka exempel automatiskt för att öka gruppskyddet	Set-MpPreference -SubmitSamplesConsent Always
Använd alltid molnet för att blockera ny skadlig kod inom några sekunder	Set-MpPreference -DisableBlockAtFirstSeen 0
Sök igenom alla nedladdade filer och bifogade filer	Set-MpPreference -DisableIOAVProtection 0
Ange molnblocknivå till "Hög"	Set-MpPreference –CloudBlockLevel High
High Set cloud block timeout till 1 minut	Set-MpPreference -CloudExtendedTimeout 50

Alltid aktiverat skydd (genomsökning i realtid)

Microsoft Defender AV söker igenom filer så snart de ses av Windows och övervakar processer som körs för kända eller misstänkta skadliga beteenden. Om antivirusmotorn upptäcker skadliga ändringar blockerar den omedelbart processen eller filen från att köras.

Mer information om dessa alternativ finns i Konfigurera beteende- och heuristiskt skydd och realtidsskydd .

Beskrivning	PowerShell-kommando
Övervaka ständigt filer och processer för kända ändringar av skadlig kod	Set-MpPreference -DisableRealtimeMonitoring 0
Övervaka ständigt kända beteenden för skadlig kod – även i "rena" filer och program som körs	Set-MpPreference -DisableBehaviorMonitoring 0
Skanna skript så fort de visas eller körs	Set-MpPreference -DisableScriptScanning 0
Sök igenom flyttbara enheter så snart de har infogats eller monterats	Set-MpPreference -DisableRemovableDriveScanning 0

Potentiellt oönskat programskydd

Potentiellt oönskade program är filer och appar som traditionellt inte klassificeras som skadliga. Dessa inkluderar installationsprogram från tredje part för vanlig programvara, annonsinmatning och vissa typer av verktygsfält i webbläsaren.

Beskrivning	PowerShell-kommando
Förhindra att grå program, adware och andra potentiellt oönskade appar installeras	Set-MpPreference -PUAProtection aktiverat

Email och arkivgenomsökning

Du kan ställa in Microsoft Defender Antivirus för att automatiskt söka igenom vissa typer av e-postfiler och arkivfiler (till exempel .zip filer) när de visas av Windows. Mer information om den här funktionen finns i artikeln Hantera e-postgenomsökningar i Microsoft Defender.

Beskrivning	PowerShell-kommando
Skanna e-postfiler och arkiv	Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0

Hantera produkt- och skyddsuppdateringar

Vanligtvis får du Microsoft Defender AV-uppdateringar från Windows Update en gång per dag. Du kan dock öka frekvensen för dessa uppdateringar genom att ange följande alternativ och se till att dina uppdateringar hanteras antingen i System Center Configuration Manager, med grupprincip eller i Intune.

Beskrivning	PowerShell-kommando
Uppdatera signaturer varje dag	Set-MpPreference -SignatureUpdateInterval
Kontrollera om du vill uppdatera signaturer innan du kör en schemalagd genomsökning	Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Advanced threat and exploit mitigation and prevention Controlled folder access (Avancerad hot- och sårbarhetsminskning och förebyggande kontroll av mappåtkomst)

Microsoft Defender Exploit Guard innehåller funktioner som skyddar enheter från kända skadliga beteenden och attacker på sårbara tekniker.

Beskrivning	PowerShell-kommando
Förhindra att skadliga och misstänkta appar (till exempel utpressningstrojaner) gör ändringar i skyddade mappar med kontrollerad mappåtkomst	Set-MpPreference -EnableControlledFolderAccess aktiverat
Blockera anslutningar till kända felaktiga IP-adresser och andra nätverksanslutningar med nätverksskydd	Set-MpPreference -EnableNetworkProtection aktiverat
Tillämpa en standarduppsättning med åtgärder med sårbarhetsskydd	https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Blockera kända skadliga attackvektorer med minskning av attackytan	Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A 917- 57927947596D -AttackSurfaceReductionRules_Actions aktiverat tilläggs-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions aktiverat Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Aktiverat Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions aktiverat tilläggs-mppreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions aktiverat Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled

Vissa regler kan blockera beteenden som du tycker är godtagbara i din organisation. I dessa fall ändrar du regeln från Aktiverad till Granskning för att förhindra oönskade block.

Genomsökning med ett klick Microsoft Defender offline

Microsoft Defender offlinegenomsökning är ett specialiserat verktyg som levereras med Windows 10 eller senare, och gör att du kan starta en dator i en dedikerad miljö utanför det normala operativsystemet. Det är särskilt användbart för potent skadlig kod, till exempel rootkits.

Mer information om hur den här funktionen fungerar finns i Microsoft Defender Offline.

Beskrivning	PowerShell-kommando
Se till att meddelanden gör att du kan starta datorn i en specialiserad miljö för borttagning av skadlig kod	Set-MpPreference -UILockdown 0

Resurser

Det här avsnittet innehåller många resurser som kan hjälpa dig att utvärdera Microsoft Defender Antivirus.

• Microsoft Defender i Windows 10 bibliotek
• Microsoft Defender för Windows Server 2016 bibliotek
• Windows 10 säkerhetsbibliotek
• Windows 10 säkerhetsöversikt
• webbplatsen Microsoft Defender Security Intelligence (Microsoft Malware Protection Center (MMPC)) – hotforskning och svar
• Microsoft Security-webbplats
• Microsofts säkerhetsblogg