Valutare Microsoft Defender Antivirus con PowerShell
Si applica a:
- Antivirus Microsoft Defender
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
In Windows 10 o versioni successive e Windows Server 2016 o versioni successive è possibile usare le funzionalità di protezione di nuova generazione offerte da Microsoft Defender Antivirus (MDAV) e Microsoft Defender Exploit Guard (Microsoft Defender EG).
Questo argomento illustra come abilitare e testare le principali funzionalità di protezione in Microsoft Defender AV e Microsoft Defender EG e fornisce indicazioni e collegamenti ad altre informazioni.
È consigliabile usare questo script di PowerShell di valutazione per configurare queste funzionalità, ma è possibile abilitare singolarmente ogni funzionalità con i cmdlet descritti nel resto di questo documento.
Per altre informazioni sui prodotti EPP, vedere le librerie di documentazione dei prodotti seguenti:
Questo articolo descrive le opzioni di configurazione in Windows 10 o versioni successive e Windows Server 2016 o versioni successive.
Se si hanno domande su un rilevamento eseguito da Microsoft Defender AV o si rileva un rilevamento perso, è possibile inviare un file al sito della Guida per l'invio di esempio.
Usare PowerShell per abilitare le funzionalità
Questa guida fornisce i cmdlet di Microsoft Defender Antivirus che configurano le funzionalità da usare per valutare la protezione.
Per usare questi cmdlet:
1. Aprire un'istanza con privilegi elevati di PowerShell (scegliere Esegui come amministratore).
2. Immettere il comando elencato in questa guida e premere INVIO.
È possibile controllare lo stato di tutte le impostazioni prima di iniziare o durante la valutazione usando il cmdlet Di PowerShell Get-MpPreference.
Microsoft Defender AV indica un rilevamento tramite notifiche Windows standard. È anche possibile esaminare i rilevamenti nell'app Microsoft Defender AV.
Il registro eventi di Windows registra anche il rilevamento e gli eventi del motore. Per un elenco degli ID evento e delle azioni corrispondenti, vedere l'articolo Eventi di Microsoft Defender Antivirus .
Funzionalità di protezione del cloud
Gli aggiornamenti delle definizioni standard possono richiedere ore per la preparazione e la distribuzione; il servizio di protezione fornito dal cloud può offrire questa protezione in pochi secondi.
Altri dettagli sono disponibili in Usare tecnologie di nuova generazione in Microsoft Defender Antivirus tramite la protezione fornita dal cloud.
Descrizione | Comando di PowerShell |
---|---|
Abilitare Microsoft Defender Cloud per la protezione quasi istantanea e una maggiore protezione | Set-MpPreference -MAPSReporting Advanced |
Inviare automaticamente esempi per aumentare la protezione dei gruppi | Set-MpPreference -SubmitSamplesConsent Always |
Usare sempre il cloud per bloccare il nuovo malware in pochi secondi | Set-MpPreference -DisableBlockAtFirstSeen 0 |
Analizzare tutti i file e gli allegati scaricati | Set-MpPreference -DisableIOAVProtection 0 |
Impostare il livello del blocco cloud su 'High' | Set-MpPreference -CloudBlockLevel High |
Timeout del blocco del cloud con impostazione elevata su 1 minuto | Set-MpPreference -CloudExtendedTimeout 50 |
Protezione always-on (analisi in tempo reale)
Microsoft Defender AV analizza i file non appena vengono visualizzati da Windows e monitora i processi in esecuzione per individuare comportamenti dannosi noti o sospetti. Se il motore antivirus rileva modifiche dannose, blocca immediatamente l'esecuzione del processo o del file.
Per altre informazioni su queste opzioni , vedere Configurare la protezione comportamentale, euristica e in tempo reale .
Descrizione | Comando di PowerShell |
---|---|
Monitorare costantemente i file e i processi per le modifiche note al malware | Set-MpPreference -DisableRealtimeMonitoring 0 |
Monitorare costantemente i comportamenti malware noti, anche nei file "puliti" e nei programmi in esecuzione | Set-MpPreference -DisableBehaviorMonitoring 0 |
Analizzare gli script non appena vengono visualizzati o eseguiti | Set-MpPreference -DisableScriptScanning 0 |
Analizza le unità rimovibili non appena vengono inserite o montate | Set-MpPreference -DisableRemovableDriveScanning 0 |
Protezione di applicazioni potenzialmente indesiderate
Le applicazioni potenzialmente indesiderate sono file e app che tradizionalmente non sono classificati come dannosi. Questi includono programmi di installazione di terze parti per software comune, ad injection e alcuni tipi di barre degli strumenti nel browser.
Descrizione | Comando di PowerShell |
---|---|
Impedire l'installazione di grayware, adware e altre app potenzialmente indesiderate | Set-MpPreference -PUAProtection Abilitato |
Analisi di posta elettronica e archivio
È possibile impostare Microsoft Defender Antivirus per analizzare automaticamente determinati tipi di file di posta elettronica e file di archivio (ad esempio .zip file) quando vengono visualizzati da Windows. Altre informazioni su questa funzionalità sono disponibili nell'articolo Gestire le analisi della posta elettronica in Microsoft Defender .
Descrizione | Comando di PowerShell |
---|---|
Analizzare file e archivi di posta elettronica | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Gestire gli aggiornamenti di prodotti e protezione
In genere, si ricevono gli aggiornamenti di Microsoft Defender AV da Windows Update una volta al giorno. È tuttavia possibile aumentare la frequenza di tali aggiornamenti impostando le opzioni seguenti e assicurandosi che gli aggiornamenti vengano gestiti in System Center Configuration Manager, con Criteri di gruppo o in Intune.
Descrizione | Comando di PowerShell |
---|---|
Aggiornare le firme ogni giorno | Set-MpPreference -SignatureUpdateInterval |
Verificare di aggiornare le firme prima di eseguire un'analisi pianificata | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Prevenzione e mitigazione avanzata delle minacce e degli exploit Accesso controllato alle cartelle
Microsoft Defender Exploit Guard offre funzionalità che consentono di proteggere i dispositivi da comportamenti dannosi noti e attacchi a tecnologie vulnerabili.
Descrizione | Comando di PowerShell |
---|---|
Impedire alle app dannose e sospette (ad esempio ransomware) di apportare modifiche alle cartelle protette con accesso controllato alle cartelle | Set-MpPreference -EnableControlledFolderAccess Abilitato |
Bloccare le connessioni a indirizzi IP non validi noti e ad altre connessioni di rete con protezione di rete | Set-MpPreference -EnableNetworkProtection Abilitato |
Applicare un set standard di mitigazioni con protezione dagli exploit |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
Bloccare i vettori di attacco dannosi noti con riduzione della superficie di attacco | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Abilitato |
Alcune regole possono bloccare il comportamento che si ritiene accettabile nell'organizzazione. In questi casi, modificare la regola da Abilitato a Controllo per evitare blocchi indesiderati.
Analisi offline di Microsoft Defender con un clic
Microsoft Defender Offline Scan è uno strumento specializzato disponibile con Windows 10 o versione successiva e consente di avviare un computer in un ambiente dedicato al di fuori del normale sistema operativo. È particolarmente utile per malware potenti, ad esempio rootkit.
Per altre informazioni sul funzionamento di questa funzionalità, vedere Microsoft Defender Offline .
Descrizione | Comando di PowerShell |
---|---|
Assicurarsi che le notifiche consentano di avviare il PC in un ambiente specializzato per la rimozione di malware | Set-MpPreference -UILockdown 0 |
Risorse
Questa sezione elenca molte risorse che consentono di valutare Microsoft Defender Antivirus.
- Libreria di Microsoft Defender in Windows 10
- Libreria di Microsoft Defender per Windows Server 2016
- Libreria di sicurezza di Windows 10
- Panoramica della sicurezza di Windows 10
- Sito Web Microsoft Defender Security Intelligence (Microsoft Malware Protection Center (MMPC)) - Ricerca e risposta alle minacce
- Sito Web di Microsoft Security
- Blog sulla sicurezza Microsoft