Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In Windows 10 of nieuwer en Windows Server 2016 of nieuwer kunt u beveiligingsfuncties van de volgende generatie gebruiken die worden aangeboden door Microsoft Defender Antivirus (MDAV) en Microsoft Defender Exploit Guard (Microsoft Defender EG).
In dit artikel wordt uitgelegd hoe u de belangrijkste beveiligingsfuncties in Microsoft Defender AV en Microsoft Defender EG kunt inschakelen en testen. Daarnaast vindt u richtlijnen en koppelingen naar meer informatie.
In dit artikel worden configuratieopties in Windows 10 of nieuwer en Windows Server 2016 of hoger beschreven.
Vereisten
Ondersteunde besturingssystemen
- Windows
- Windows 10
- Windows 2016 en hoger
Gebruik Microsoft Defender Antivirus met groepsbeleid om de functies in te schakelen
Deze handleiding bevat de Microsoft Defender Antivirus groepsbeleid waarmee de functies worden geconfigureerd die u moet gebruiken om onze beveiliging te evalueren.
Download de nieuwste 'Windows groepsbeleid-beheersjablonen'.
Zie Central Store maken en beheren - Windows Client voor meer informatie.
Tip
- De Windows-versie werkt met de Windows-servers.
- Zelfs als u een Windows 10 of Windows Server 2016 uitvoert, kunt u de nieuwste beheersjablonen voor Windows 11 of nieuwer downloaden.
Maak een 'Central Store' om de nieuwste .admx- en .adml-sjablonen te hosten.
Zie Central Store maken en beheren - Windows Client voor meer informatie.
Indien toegevoegd aan een domein:
Maak een nieuwe overname van OE-blokbeleid.
Open Groepsbeleidsbeheerconsole (GPMC.msc).
Ga naar groepsbeleid Objecten en maak een nieuwe groepsbeleid.
Klik met de rechtermuisknop op het nieuwe beleid dat is gemaakt en selecteer Bewerken.
Navigeer naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus.
of
Als u lid bent van een werkgroep
Open groepsbeleid Editor MMC (GPEdit.msc).
Navigeer naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus.
MDAV en mogelijk ongewenste toepassingen (PUA)
Root:
| Beschrijving | Instelling |
|---|---|
| Microsoft Defender Antivirus uitschakelen | Uitgeschakeld |
| Detectie configureren voor mogelijk ongewenste toepassingen | Ingeschakeld - Blokkeren |
Realtime-beveiliging (always-on-beveiliging, realtime scannen)
\ Realtime-beveiliging:
| Beschrijving | Instelling |
|---|---|
| Realtime-beveiliging uitschakelen | Uitgeschakeld |
| Bewaking configureren voor binnenkomende en uitgaande bestands- en programmaactiviteit | Ingeschakeld, bidirectioneel (volledige toegang) |
| Gedragscontrole inschakelen | Ingeschakeld |
| Bestands- en programmaactiviteit op uw computer bewaken | Ingeschakeld |
Cloudbeveiligingsfuncties
Het voorbereiden en leveren van standaard updates van beveiligingsinformatie kan uren duren; onze cloudbeveiligingsservice kan deze beveiliging binnen enkele seconden bieden.
Zie Next-Gen-technologieën gebruiken in Microsoft Defender Antivirus via cloudbeveiliging voor meer informatie.
\ KAARTEN:
| Beschrijving | Instelling |
|---|---|
| Deelnemen aan Microsoft MAPS | Ingeschakeld, Advanced MAPS |
| De functie 'Blokkeren bij eerste gezicht' configureren | Ingeschakeld |
| Bestandsvoorbeelden verzenden wanneer verdere analyse is vereist | Ingeschakeld, Alle voorbeelden verzenden |
\ MpEngine:
| Beschrijving | Instelling |
|---|---|
| Cloudbeveiligingsniveau selecteren | Ingeschakeld, hoog blokkeringsniveau |
| Uitgebreide cloudcontrole configureren | Ingeschakeld, 50 |
Scans
| Beschrijving | Instelling |
|---|---|
| Heuristiek inschakelen | Ingeschakeld |
| Scannen via e-mail inschakelen | Ingeschakeld |
| Alle gedownloade bestanden en bijlagen scannen | Ingeschakeld |
| Scriptscans inschakelen | Ingeschakeld |
| Archiefbestanden scannen | Ingeschakeld |
| Ingepakte uitvoerbare bestanden scannen | Ingeschakeld |
| Scannen van netwerkbestanden configureren (Netwerk Files scannen) | Ingeschakeld |
| Verwisselbare stations scannen | Ingeschakeld |
| Scannen op reparsepunten inschakelen | Ingeschakeld |
Updates voor beveiligingsinformatie
| Beschrijving | Instelling |
|---|---|
| Geef het interval op om te controleren op updates van beveiligingsinformatie | Ingeschakeld, 4 |
| De volgorde van bronnen definiëren voor het downloaden van updates voor beveiligingsinformatie | Ingeschakeld onder 'De volgorde van bronnen definiëren voor het downloaden van updates voor beveiligingsinformatie' InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Opmerking: Waarbij InternalDefinitionUpdateServer WSUS is met Microsoft Defender Antivirus-updates toegestaan. MicrosoftUpdateServer == Microsoft Update (voorheen Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/defenderupdates |
AV-instellingen voor lokale beheerder uitschakelen
Schakel AV-instellingen voor lokale beheerders uit, zoals uitsluitingen, en dwing het beleid af vanuit de Microsoft Defender voor Eindpunt Beheer van beveiligingsinstellingen.
Root:
| Beschrijving | Instelling |
|---|---|
| Samenvoeggedrag van lokale beheerders configureren voor lijsten | Uitgeschakeld |
| Bepalen of uitsluitingen zichtbaar zijn voor lokale beheerders | Ingeschakeld |
Standaardactie ernst bedreiging
\ Bedreigingen
| Beschrijving | Instelling | Waarschuwingsniveau | Actie |
|---|---|---|---|
| Waarschuwingsniveaus voor bedreigingen opgeven waarbij standaardactie niet moet worden uitgevoerd wanneer deze worden gedetecteerd | Ingeschakeld | ||
| 5 (ernstig) | 2 (Quarantaine) | ||
| 4 (hoog) | 2 (Quarantaine) | ||
| 2 (gemiddeld) | 2 (Quarantaine) | ||
| 1 (laag) | 2 (Quarantaine) |
\ Quarantaine
| Beschrijving | Instelling |
|---|---|
| Het verwijderen van items uit de map Quarantaine configureren | Ingeschakeld, 60 |
\ Clientinterface
| Beschrijving | Instelling |
|---|---|
| Modus voor hoofdloze gebruikersinterface inschakelen | Uitgeschakeld |
Netwerkbeveiliging
\ Microsoft Defender Exploit Guard\Network Protection:
| Beschrijving | Instelling |
|---|---|
| Voorkomen dat gebruikers en apps toegang hebben tot gevaarlijke websites | Ingeschakeld, blokkeren |
| Met deze instellingen bepaalt u of Netwerkbeveiliging kan worden geconfigureerd in de blok- of controlemodus op Windows Server | Ingeschakeld |
Als u netwerkbeveiliging voor Windows-servers wilt inschakelen, gebruikt u voorlopig PowerShell:
| OS | PowerShell-cmdlet |
|---|---|
| Windows Server 2012 R2 en hoger | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016- en Windows Server 2012 R2-client voor geïntegreerde MDE | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $true |
Regels voor het verminderen van kwetsbaarheid voor aanvallen
Navigeer naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Selecteer Volgende.
| Beschrijving | Instelling |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eee46550 Opmerking: (Uitvoerbare inhoud van e-mailclient en webmail blokkeren) |
1 (blok) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Opmerking: (Voorkomen dat Adobe Reader onderliggende processen maakt) |
1 (blok) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Opmerking: (Uitvoering van mogelijk verborgen scripts blokkeren) |
1 (blok) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Opmerking: (Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren) |
1 (blok) |
| 92e97fa1-2edf-4476-bdd6-9ddb4dddc7b Opmerking: (Win32-API-aanroepen vanuit Office-macro's blokkeren) |
1 (blok) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Opmerking: (Voorkomen dat uitvoerbare bestanden worden uitgevoerd, tenzij ze voldoen aan een criterium voor prevalentie, leeftijd of vertrouwde lijst) |
1 (blok) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Opmerking: (Voorkomen dat de Office-communicatietoepassing onderliggende processen maakt) |
1 (blok) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Opmerking: (Alle Office-toepassingen blokkeren voor het maken van onderliggende processen) |
1 (blok) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Opmerking: ([PREVIEW] Het gebruik van gekopieerde of geïmiteerde systeemhulpprogramma's blokkeren) |
1 (blok) |
| d3e037e1-3eb8-44c8-a917-57927947596d Opmerking: (JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud) |
1 (blok) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Opmerking: (Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie blokkeren) |
1 (blok) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Opmerking: (Het maken van webshells voor servers blokkeren) |
1 (blok) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Opmerking: (Voorkomen dat Office-toepassingen uitvoerbare inhoud kunnen maken) |
1 (blok) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Opmerking: (Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB) |
1 (blok) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Opmerking: (Voorkomen dat Office-toepassingen code in andere processen injecteren) |
1 (blok) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Opmerking: (Persistentie blokkeren via WMI-gebeurtenisabonnement) |
1 (blok) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Opmerking: (Geavanceerde beveiliging tegen ransomware gebruiken) |
1 (blok) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Opmerking: (Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten) |
1 (blok) Opmerking: Als u Configuration Manager (voorheen SCCM) of andere beheerhulpprogramma's hebt die gebruikmaken van WMI, moet u dit mogelijk instellen op 2 ('audit') in plaats van 1('block'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Opmerking: ([PREVIEW] Het opnieuw opstarten van de computer in de veilige modus blokkeren) |
1 (blok) |
Tip
Sommige regels blokkeren mogelijk gedrag dat u acceptabel vindt in uw organisatie. Wijzig in deze gevallen de regel van 'Ingeschakeld' in 'Audit' om ongewenste blokken te voorkomen.
Gecontroleerde maptoegang
Navigeer naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| Beschrijving | Instelling |
|---|---|
| Gecontroleerde maptoegang configureren | Ingeschakeld, blokkeren |
Wijs het beleid toe aan de organisatie-eenheid waar de testmachines zich bevinden.
Manipulatiebeveiliging inschakelen
Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Instellingen>Eindpunten>Geavanceerde functies>Manipulatiebeveiliging>Aan.
Zie Hoe kan ik manipulatiebeveiliging configureren of beheren? voor meer informatie.
De cloudbeveiligingsnetwerkverbinding controleren
Het is belangrijk om te controleren of cloudbeveiligingsnetwerkverbinding werkt tijdens uw penetratietest.
Open een opdrachtprompt met verhoogde bevoegdheid (een opdrachtpromptvenster dat u hebt geopend door Als administrator uitvoeren te selecteren). Bijvoorbeeld:
- Open het startmenu en typ cmd.
- Klik met de rechtermuisknop op het resultaat van de opdrachtprompt en selecteer vervolgens Als administrator uitvoeren.
Voer in de opdrachtprompt met verhoogde bevoegdheid de volgende opdrachten uit:
Tip
Met de eerste opdracht wijzigt u de map in de nieuwste versie van de versie> van <het antimalwareplatform in
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Als dat pad niet bestaat, gaat het naar%ProgramFiles%\Windows Defender.(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1 MpCmdRun.exe -ValidateMapsConnection
Zie Microsoft Defender Antivirus configureren en beheren met het opdrachtregelprogramma MpCmdRun voor meer informatie.
De platformupdateversie controleren
Het meest recente productiekanaal (GA) van de platformupdate is hier beschikbaar:
Als u de geïnstalleerde versie van Platform Update wilt zien, voert u de volgende opdracht uit in een PowerShell-sessie met verhoogde bevoegdheid (een PowerShell-venster dat u hebt geopend door Als administrator uitvoeren te selecteren):
Get-MpComputerStatus | Format-Table AMProductVersion
De versie van de Security Intelligence Update controleren
De nieuwste versie van 'Security Intelligence Update' is hier beschikbaar:
Als u de geïnstalleerde versie van 'Security Intelligence Update' wilt zien, voert u de volgende opdracht uit in een PowerShell-sessie met verhoogde bevoegdheid:
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
De engine-updateversie controleren
De meest recente versie van de scan 'engine update' is hier beschikbaar:
Als u de geïnstalleerde versie van Engine Update wilt zien, voert u de volgende opdracht uit in een PowerShell-sessie met verhoogde bevoegdheid:
Get-MpComputerStatus | Format-Table AMEngineVersion
Als uw instellingen niet van kracht worden, is er mogelijk een conflict. Zie Problemen met Microsoft Defender Antivirusinstellingen oplossen om conflicten op te lossen.
Voor inzendingen met fout-negatieven (FN's)
Als u vragen hebt over een detectie die Microsoft Defender AV maakt, of als u een gemiste detectie ontdekt, kunt u een bestand naar ons verzenden.
Als u Microsoft XDR, Microsoft Defender voor Eindpunt P2/P1 of Microsoft Defender voor Bedrijven hebt: raadpleeg Bestanden verzenden in Microsoft Defender voor Eindpunt.
Als u Microsoft Defender Antivirus hebt, raadpleegt u Bestanden verzenden voor analyse.
Microsoft Defender AV geeft een detectie aan via standaard Windows-meldingen. U kunt ook detecties bekijken in de Microsoft Defender AV-app.
In het Windows-gebeurtenislogboek worden ook detectie- en engine-gebeurtenissen vastgelegd. Zie het artikel Microsoft Defender Antivirusgebeurtenissen voor een lijst met gebeurtenis-id's en de bijbehorende acties.
Als uw instellingen niet correct worden toegepast, controleert u of er conflicterende beleidsregels zijn ingeschakeld in uw omgeving. Zie Problemen met Microsoft Defender Antivirusinstellingen oplossen voor meer informatie.
Als u een Microsoft-ondersteuningsaanvraag wilt openen: Neem contact op met Microsoft Defender voor Eindpunt ondersteuning.