Partager via


Évaluer l’antivirus Microsoft Defender à l’aide de PowerShell

S’applique à :

Dans Windows 10 ou version ultérieure et Windows Server 2016 ou version ultérieure, vous pouvez utiliser les fonctionnalités de protection de nouvelle génération offertes par Antivirus Microsoft Defender (MDAV) et Microsoft Defender Exploit Guard (Microsoft Defender EG).

Cette rubrique explique comment activer et tester les principales fonctionnalités de protection dans Microsoft Defender AV et Microsoft Defender EG, et vous fournit des conseils et des liens vers des informations supplémentaires.

Nous vous recommandons d’utiliser ce script PowerShell d’évaluation pour configurer ces fonctionnalités, mais vous pouvez activer chaque fonctionnalité individuellement avec les applets de commande décrites dans le reste de ce document.

Pour plus d’informations sur nos produits PPE, consultez les bibliothèques de documentation produit suivantes :

Cet article décrit les options de configuration dans Windows 10 ou version ultérieure et Windows Server 2016 ou version ultérieure.

Si vous avez des questions sur une détection que Microsoft Defender AV effectue, ou si vous découvrez une détection manquée, vous pouvez nous envoyer un fichier sur notre site d’aide sur l’exemple de soumission.

Utiliser PowerShell pour activer les fonctionnalités

Ce guide fournit les applets de commande de l’Antivirus Microsoft Defender qui configurent les fonctionnalités que vous devez utiliser pour évaluer notre protection.

Pour utiliser ces applets de commande :

1. Ouvrez une instance avec élévation de privilèges de PowerShell (choisissez Exécuter en tant qu’administrateur).

2. Entrez la commande répertoriée dans ce guide et appuyez sur Entrée.

Vous pouvez vérifier l’état de tous les paramètres avant de commencer ou pendant votre évaluation à l’aide de l’applet de commande PowerShell Get-MpPreference.

Microsoft Defender AV indique une détection par le biais de notifications Windows standard. Vous pouvez également passer en revue les détections dans l’application Microsoft Defender AV.

Le journal des événements Windows enregistre également les événements de détection et de moteur. Consultez l’article Événements de l’Antivirus Microsoft Defender pour obtenir la liste des ID d’événements et leurs actions correspondantes .

Fonctionnalités de protection cloud

La préparation et la livraison des mises à jour de définitions standard peuvent prendre des heures. notre service de protection fourni par le cloud peut fournir cette protection en quelques secondes.

Pour plus d’informations, consultez Utiliser les technologies de nouvelle génération dans Antivirus Microsoft Defender via la protection fournie par le cloud.

Description Commande PowerShell
Activer Microsoft Defender Cloud pour une protection quasi instantanée et une protection accrue Set-MpPreference -MAPSReporting Avancé
Envoyer automatiquement des exemples pour améliorer la protection des groupes Set-MpPreference -SubmitSamplesConsent Always
Toujours utiliser le cloud pour bloquer les nouveaux programmes malveillants en quelques secondes Set-MpPreference -DisableBlockAtFirstSeen 0
Analyser tous les fichiers et pièces jointes téléchargés Set-MpPreference -DisableIOAVProtection 0
Définissez le niveau de bloc cloud sur « Élevé » Set-MpPreference -CloudBlockLevel High
Délai d’expiration du bloc cloud défini à 1 minute Set-MpPreference -CloudExtendedTimeout 50

Protection Always On (analyse en temps réel)

Microsoft Defender AV analyse les fichiers dès qu’ils sont vus par Windows et surveille les processus en cours d’exécution pour détecter les comportements malveillants connus ou suspects. Si le moteur antivirus détecte une modification malveillante, il bloque immédiatement l’exécution du processus ou du fichier.

Pour plus d’informations sur ces options , consultez Configurer la protection comportementale, heuristique et en temps réel .

Description Commande PowerShell
Surveiller constamment les fichiers et les processus pour les modifications connues des programmes malveillants Set-MpPreference -DisableRealtimeMonitoring 0
Surveiller constamment les comportements connus des programmes malveillants, même dans les fichiers « propres » et les programmes en cours d’exécution Set-MpPreference -DisableBehaviorMonitoring 0
Analyser les scripts dès qu’ils sont vus ou exécutés Set-MpPreference -DisableScriptScanning 0
Analyser les lecteurs amovibles dès qu’ils sont insérés ou montés Set-MpPreference -DisableRemovableDriveScanning 0

Protection des applications potentiellement indésirables

Les applications potentiellement indésirables sont des fichiers et des applications qui ne sont pas traditionnellement classés comme malveillants. Il s’agit notamment des programmes d’installation tiers pour les logiciels courants, l’injection de publicité et certains types de barres d’outils dans votre navigateur.

Description Commande PowerShell
Empêcher l’installation des graywares, des logiciels de publicité et d’autres applications potentiellement indésirables Set-MpPreference -PUAProtection activé

Analyse des e-mails et des archives

Vous pouvez configurer l’Antivirus Microsoft Defender pour analyser automatiquement certains types de fichiers de courrier électronique et de fichiers d’archivage (tels que les fichiers .zip) lorsqu’ils sont vus par Windows. Pour plus d’informations sur cette fonctionnalité, consultez l’article Gérer les analyses de courrier électronique dans Microsoft Defender .

Description Commande PowerShell
Analyser les fichiers de courrier électronique et les archives Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

Gérer les mises à jour de produits et de protection

En règle générale, vous recevez des mises à jour de Microsoft Defender AV à partir de Windows Update une fois par jour. Toutefois, vous pouvez augmenter la fréquence de ces mises à jour en définissant les options suivantes et en veillant à ce que vos mises à jour soient gérées dans System Center Configuration Manager, avec une stratégie de groupe ou dans Intune.

Description Commande PowerShell
Mettre à jour les signatures tous les jours Set-MpPreference -SignatureUpdateInterval
Vérifier la mise à jour des signatures avant d’exécuter une analyse planifiée Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Protection avancée contre les menaces et les attaques et prévention Accès contrôlé aux dossiers

Microsoft Defender Exploit Guard fournit des fonctionnalités qui aident à protéger les appareils contre les comportements malveillants connus et les attaques sur les technologies vulnérables.

Description Commande PowerShell
Empêcher les applications malveillantes et suspectes (telles que les rançongiciels) d’apporter des modifications aux dossiers protégés avec accès contrôlé aux dossiers Set-MpPreference -EnableControlFolderAccess enabled
Bloquer les connexions à des adresses IP incorrectes connues et à d’autres connexions réseau avec protection réseau Set-MpPreference -EnableNetworkProtection Enabled
Appliquer un ensemble standard d’atténuations avec Exploit Protection
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Bloquer les vecteurs d’attaque malveillants connus avec la réduction de la surface d’attaque Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Add-MpPreference activé
-AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Activé
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Activé
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Activé

Certaines règles peuvent bloquer le comportement que vous trouvez acceptable dans votre organisation. Dans ce cas, remplacez la règle activé par Audit pour empêcher les blocs indésirables.

Analyse hors connexion de Microsoft Defender en un clic

Microsoft Defender Offline Scan est un outil spécialisé fourni avec Windows 10 ou version ultérieure. Il vous permet de démarrer un ordinateur dans un environnement dédié en dehors du système d’exploitation normal. Il est particulièrement utile pour les programmes malveillants puissants, tels que les rootkits.

Pour plus d’informations sur le fonctionnement de cette fonctionnalité, consultez Microsoft Defender hors connexion .

Description Commande PowerShell
Vérifiez que les notifications vous permettent de démarrer le PC dans un environnement de suppression de programmes malveillants spécialisé Set-MpPreference -UILockdown 0

Ressources

Cette section répertorie de nombreuses ressources qui peuvent vous aider à évaluer Antivirus Microsoft Defender.