使用群組原則評估 Microsoft Defender 防毒軟體

本指南協助您啟用並測試 Microsoft Defender 防毒軟體與 Microsoft Defender Exploit Guard 的關鍵防護功能。 這些功能包括即時保護、雲端保護、掃描設定、網路保護、攻擊面減少規則,以及受控資料夾存取。 本指南適用於目前版本的 Windows 和 Windows Server。 請使用本指南中的群組原則設定,在網域加入或工作群組環境中設定這些功能以進行評估。

必要條件

支援的作業系統

以下作業系統支援用於此評估:

  • Windows 10 或更新版本
  • Windows Server 2016 或更新版本

使用群組政策啟用 Microsoft Defender 防毒功能

群組政策中央儲存是網域控制器上的一個共用資料夾,用來存放管理範本檔案(.admx 和 .adml)。 它讓所有群組原則管理員都能使用相同的政策定義。 對於網域環境,開始前先設置一個中央商店。 對於工作群組,範本會儲存在本地,不需要中央儲存。

請依照以下步驟配置 Microsoft Defender 防毒軟體進行評估。

  1. 下載最新的行政範本檔案。 如需下載連結,請參閱 依作業系統版本分類的管理範本檔案

    提示

    請查看各下載頁面的 系統需求 區:

    • 大多數下載支援 Windows 用戶端與 Windows 伺服器。
    • 取得最新且適用的下載內容。
  2. 請執行以下其中一種程序來建立中央儲存庫以承載最新的 .admx 和 .adml 範本:

    • 網域

      1. 建立一個新的 OU 來阻擋政策繼承。
      2. 打開群組政策管理主控台 (gpmc.msc) 。
      3. 群組原則物件中建立一個新的群組原則。
      4. 右鍵點擊新的群組政策,然後選擇 編輯
      5. 前往電腦設定>政策>管理範本>Windows 元件>Microsoft Defender 防毒軟體
    • 工作小組

      1. 開啟群組原則編輯器 (gpedit.msc)。
      2. 前往電腦設定>管理範本>Windows 元件>Microsoft Defender 防毒軟體。

欲了解更多關於建立與管理群組政策中央儲存裝置的資訊,請參閱建立與管理中央儲存裝置 - Windows 用戶端

評估 Microsoft Defender 防毒軟體中潛在的不受歡迎應用程式保護

根源

描述 設定
關閉 Microsoft Defender 防毒軟體 已停用
為潛在不受歡迎的應用程式設定偵測 啟用 - 封鎖

即時保護 (全天候保護、即時掃描)

即時保護

描述 設定
關閉即時保護 已停用
設定監控進出檔案與程式活動 已啟用,雙向(完整存取時)
開啟行為監控 已啟用
監控電腦上的檔案和程式活動 已啟用

雲端保護功能

標準安全性情報更新可能需要數小時才能完成準備並交付。 雲端提供的保護能在數秒內提供相同的覆蓋範圍。

欲了解更多資訊,請參閱「透過雲端防護在 Microsoft Defender 防毒軟體中使用次世代技術」。

MAPS(Microsoft Active Protection Service)下設定以下設定,這是雲端服務,負責將威脅資料傳送給 Microsoft 並接收快速的保護更新:

描述 設定
加入 Microsoft MAPS 啟用,進階 MAPS
設定「一見即阻」功能 已啟用
需要進一步分析時,請傳送檔案樣本 啟用,傳送所有樣本

MpEngine

描述 設定
選擇雲端保護等級 啟用,阻擋程度高
設定延伸雲端檢查 已啟用, 50

配置與評估掃描設定

這些掃描設定控制檔案和腳本的檢查方式。 在群組政策中開啟每個設定:

描述 設定
啟用啟發式 已啟用
開啟電子郵件掃描功能 已啟用
掃描所有下載的檔案和附件 已啟用
開啟腳本掃描 已啟用
掃描壓縮檔 已啟用
掃描封裝的可執行檔 已啟用
設定網路檔案掃描 (掃描網路檔案) 已啟用
掃描卸除式磁碟機 已啟用
開啟重解析點掃描 已啟用

安全情報更新

請使用以下設定來控制裝置如何下載並套用安全更新:

描述 設定
指定檢查安全情報更新的間隔 啟用, 4
定義下載安全情報更新來源的順序 啟用,在「定義下載安全情報更新的來源順序」中

停用本地管理員防毒設定

使用這些設定來阻擋本地管理員的變更,例如排除功能。 這些政策是透過 適用於端點的 Microsoft Defender 的安全設定管理來執行的。

根源

描述 設定
設定本地管理員對清單的合併行為 已停用
控制排除項目是否對本地管理員可見 已啟用

設定威脅嚴重度預設動作

這些設定控制了當 Microsoft Defender 防毒軟體偵測到威脅時的反應。 它們會取代每個威脅等級的預設行動,並隔離所有威脅。

威脅

描述 設定 警戒等級 動作
指定威脅警示等級,偵測到時不應採取預設行動 已啟用
5 (嚴重) 2 (隔離)
4 (高) 2 (隔離)
2 (中) 2 (隔離)
1 (低) 2 (隔離)

隔離:

描述 設定
設定從隔離資料夾移除項目 啟用, 60

用戶端介面

描述 設定
啟用無頭使用者介面模式 已停用

設定網路保護

網路保護會阻擋通往危險網站和 IP 位址的連線。 它有助於防止網路釣魚攻擊和惡意軟體下載。 在群組政策中,Microsoft Defender Exploit Guard\Network Protection 設定以下設定:

描述 設定
防止使用者和應用程式存取危險網站 啟用,封鎖
允許 Windows Server 上的網路保護 已啟用

在 Windows Server 上,使用 PowerShell 開啟網路保護:

作業系統 PowerShell 命令
Windows Server 2012 R2 及以後版本 Set-MpPreference -AllowNetworkProtectionOnWinServer $true
Windows Server 2016 與 Windows Server 2012 R2 統一 MDE 用戶端 Set-MpPreference -AllowNetworkProtectionOnWinServer $true -AllowNetworkProtectionDownLevel $true

設定受攻擊面縮小規則

攻擊面減少(ASR)規則會阻擋惡意軟體常用的特定行為,例如執行腳本或從電子郵件啟動可執行內容。 請依照以下步驟在群組政策中啟用 ASR 規則:

  1. 在群組原則編輯器中,請前往 電腦設定>系統管理範本>Windows 元件>Microsoft Defender 防毒軟體>Microsoft Defender Exploit Guard>攻擊面縮減

  2. 按兩下 「設定縮小攻擊面規則」,選取 「已啟用」,然後選取 「顯示」,再使用下表中的值設定各項規則。

數值名稱 ASR 規則名稱
01443614-cd74-433a-b99e-2ecdc07bfc25 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 1 (區塊)
26190899-1602-49e8-8b27-eb1d0a1ce869 封鎖 Office 通訊應用程式使其無法建立子程序 1 (區塊)
33ddedf1-c6e0-47cb-833e-de6133960387 在安全模式下封鎖重啟機器 1 (區塊)
3b576869-a4ec-4529-8536-b80a7769e899 封鎖 Office 應用程式使其無法建立可執行的內容 1 (區塊)
56a863a9-875e-4185-98a7-b882c64b5ce5 封鎖對遭利用之含有漏洞的已簽署驅動程式的濫用 (裝置) 1 (區塊)
5beb7efe-fd9a-4556-801d-275e5ffc04cc 封鎖可能經過模糊化的指令碼的執行 1 (區塊)
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 封鎖 Office 應用程式使其無法將程式碼插入其他程序 1 (區塊)
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c 封鎖 Adobe Reader 使其無法建立子程序 1 (區塊)
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b 封鎖來自 Office 巨集的 Win32 API 呼叫 1 (區塊)
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 封鎖從 Windows 本機安全性授權子系統竊取認證資料 1 (區塊)
A8F5898E-1DC8-49A9-9878-85004B8A61E6 封鎖在伺服器上建立網頁命令殼層 1 (區塊)
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 封鎖從 USB 執行的未受信任與未簽署程序 1 (區塊)
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 封鎖來自電子郵件用戶端和 Web 郵件的可執行內容 1 (區塊)
c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb 封鎖使用複製或冒充的系統工具 1 (區塊)
c1db55ab-c21a-4637-bb3f-a12568109d35 對惡意勒索軟體使用進階保護 1 (區塊)
d1e49aac-8f56-4280-b9ba-993a6d77406c 封鎖源自 PSExec 與 WMI 命令的程序建立 1 (區塊)*
d3e037e1-3eb8-44c8-a917-57927947596d 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 1 (區塊)
D4F940AB-401B-4EFC-AADC-AD5F3C50688A 封鎖所有 Office 應用程式使其無法建立子程序 1 (區塊)
e6db77e5-3df2-4cf1-b95a-636979351e5b 透過 WMI 事件訂閱封鎖持續性 1 (區塊)

*如果你使用Microsoft Configuration Manager (以前稱為 Microsoft 端點Configuration Manager、Microsoft System Center Configuration Manager) 或其他使用 WMI 的管理工具,請使用值 2 (稽核) 。 設定管理員 用戶端高度依賴 WMI。

提示

有些規則可能會阻擋你認為在組織中可以接受的行為。 在這種情況下,將規則從 1 (區塊) 改為 2 (稽核) 以防止不必要的封鎖。

設定受控資料夾存取

受控資料夾存取保護您的資料免受有害應用程式和勒索軟體侵害。 若要開啟此功能,請前往電腦組態>系統管理範本>Windows 元件>Microsoft Defender 防毒軟體>Microsoft Defender Exploit Guard>攻擊面縮小

描述 設定
設定受控資料夾存取 啟用,封鎖

將政策指派給測試機器所在的組織單位。

啟用防竄改保護

Microsoft Defender 入口網站 中,前往 設定>端點>進階功能>防篡改保護>開啟

欲了解更多資訊,請參閱如何?配置或管理防篡改防護?

檢查 Cloud Protection 網路連通性

在測試偵測或防護措施前,請確認 Microsoft Defender 防毒軟體的雲端防護網路連線是否正常運作。

要測試與 Microsoft Defender 雲端保護服務的連接,請在提升的命令提示字元執行以下指令(右鍵點選命令提示字元並選擇以管理員身份執行)。 第一個指令會切換到最新的 Defender 平台資料夾,第二個指令則用來驗證 MAPS 雲端連線。 成功結果顯示 ValidateMapsConnection successfully established a connection to MAPS

提示

第一個指令會將目錄變更至 %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version> 中最新版本的 <反惡意程式平台版本>。 如果該路徑不存在,就會前往 %ProgramFiles%\Windows Defender

(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -ValidateMapsConnection

第一個指令會在 %ProgramData%\Microsoft\Windows Defender\Platform\ 下找出最新的反惡意軟體平台資料夾,並切換至該目錄。 如果那條路徑不存在,它就會退回到 %ProgramFiles%\Windows Defender。 第二個指令是驗證雲端保護的連線性。

欲了解更多關於 MpCmdRun.exe 及該選項的-ValidateMapsConnection資訊,請參閱使用 MpCmdRun 指令列工具配置與管理 Microsoft Defender 防毒軟體。

請查看平台更新版本

請在 Microsoft Update 目錄中查看生產頻道(GA)的最新「平台更新」版本,然後與您裝置上的版本做比較:

Microsoft更新目錄

要檢查裝置上的平台版本,請在提升權限的 PowerShell 會話中執行此指令(選擇 以管理員身份執行開啟 PowerShell)。 AMProductVersion輸出中的值為已安裝平台版本:

Get-MpComputerStatus | Format-Table AMProductVersion

請查看安全情報更新版本

請在 Microsoft 安全性 Intelligence 更新頁面查看最新的「Security Intelligence Update」版本,然後與你裝置上的版本做比較:

Microsoft Defender 防毒軟體及其他 Microsoft 反惡意軟體的最新安全情報更新 - Microsoft 安全情報

若要驗證已安裝的安全性情報版本,請在提高權限的 PowerShell 工作階段中執行此命令。 將輸出中的 AntivirusSignatureVersion 值與上方頁面上的最新版本進行比較:

Get-MpComputerStatus | Format-Table AntivirusSignatureVersion

請檢查引擎更新版本

請在 Microsoft 安全性 Intelligence 更新頁面查看最新的掃描「引擎更新」版本,然後與你裝置上的版本做比較:

Microsoft Defender 防毒軟體及其他 Microsoft 反惡意軟體的最新安全情報更新 - Microsoft 安全情報

掃描引擎會與平台分開更新。 要檢查已安裝的引擎版本,請在一個提升的 PowerShell 會話中執行以下指令:

Get-MpComputerStatus | Format-Table AMEngineVersion

如果您的設定沒有生效,可能發生衝突。 要解決衝突,請參閱「故障排除 Microsoft Defender 防毒軟體設定」。

提交檔案以進行偽陰性分析

如果您對 Microsoft Defender 防毒軟體偵測到的某項偵測有任何疑問,或發現漏檢,歡迎提交檔案給我們。

如果您有 Microsoft Defender、適用於端點的 Microsoft Defender P2/P1 或 適用於企業的 Microsoft Defender:請參閱 在 適用於端點的 Microsoft Defender 中提交檔案

如果你有 Microsoft Defender 防毒軟體,請參考「提交檔案」進行分析

Microsoft Defender 防毒軟體會透過標準 Windows 通知發出偵測通知。 你也可以在 Microsoft Defender 防毒軟體中查看偵測結果

Windows 事件日誌也會記錄偵測與引擎事件。 請參閱 Microsoft Defender 防毒事件文章,了解事件 ID 及其對應的動作列表。

如果您的設定未正確套用,請確認您的環境中是否啟用了彼此衝突的原則。 更多資訊請參閱「故障排除 Microsoft Defender 防毒軟體設定」。

如果您需要提出 Microsoft 支援案例:聯絡 適用於端點的 Microsoft Defender 支援