Konfigurace Microsoft Defender Antivirus v podnikovém prostředí

09/08/2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při efektivní konfiguraci a správě Microsoft Defender Antivirus (MDAV) v podnikových prostředích. MDAV, který je nedílnou součástí operačního systému Windows, se vyvinul ze základního řešení na robustní a základní součást bezpečnostní strategie společnosti Microsoft, která nabízí ochranu koncových bodů nové generace proti široké škále hrozeb, včetně malwaru, ransomwaru a útoků bez souborů [1].

Úvod

V neustále se vyvíjejícím prostředí kybernetických hrozeb je spolehlivé a dobře nakonfigurované antivirové řešení první linií obrany každé organizace. Microsoft Defender Antivirus, je-li centrálně spravován, poskytuje výkonnou ochranu, která se hladce integruje s ekosystémem Microsoftu a poskytuje jednotnou viditelnost a kontrolu. Tato příručka pokryje nejběžnější metody konfigurace Defender AV v podnikových prostředích a zajistí, že vaše organizace bude chráněna konzistentně a efektivně.

Nástroje pro správu

Existuje několik způsobů, jak spravovat Microsoft Defender AV v podnikovém prostředí. Nejběžnější jsou:

• Microsoft Intune (doporučeno): Pro organizace využívající moderní cloudovou správu. Poskytuje centralizované rozhraní na portálu Microsoft Endpoint Manager pro vytváření a nasazení zásad zabezpečení.
• Group Policy (GPO): Pro organizace s místní infrastrukturou Active Directory. Umožňuje konfiguraci prostřednictvím objektů zásad skupiny.
• Microsoft Endpoint Configuration Manager (MECM/SCCM): Pro správu ve velkém měřítku, často v hybridních prostředích.
• PowerShell: Pro granulární nebo hromadnou automatizaci a konfigurace.

Tato příručka se zaměří na dvě nejoblíbenější metody: Intune a GPO.

Předpoklady

• Operační systém: Windows 10, Windows 11 nebo Windows Server 2016 a novější.
• Administrativní přístup: Oprávnění správce Intune (pro Intune) nebo správce domény (pro GPO).
• Licencování: Defender AV je součástí Windows. Pokročilé funkce (jako je Microsoft Defender for Endpoint) vyžadují další licencování (např.: Microsoft 365 E5).

Konfigurace Defender AV pomocí Microsoft Intune

Toto je moderní a doporučený přístup pro cloudová zařízení.

1. Přejděte na portál Microsoft Intune: https://intune.microsoft.com.
2. Přejděte na Zabezpečení koncového bodu > Antivirus.
3. Klikněte na Vytvořit zásady.
4. Vyberte:
   • Platforma: Windows 10 a novější
   • Profil: Microsoft Defender Antivirus
5. Klikněte na Vytvořit.
6. Základy: Pojmenujte zásadu (např.: Windows - Defender AV Default Policy) a popis. Klikněte na Další.
7. Nastavení konfigurace: Toto je nejdůležitější krok. Nakonfigurujte následující sekce pomocí doporučených postupů:
   • Cloudová ochrana:
     • Povolit ochranu poskytovanou cloudem: „Ano“. Nezbytné pro zpravodajství o hrozbách v reálném čase.
     • Úroveň ochrany poskytovaná v cloudu: „Vysoká“. Nabízí agresivnější detekci.
     • Prodloužený časový limit Defender Cloud: 50 sekund. Poskytuje cloudové službě více času na analýzu podezřelých souborů.
   • Ochrana v reálném čase:
     • Povolit ochranu v reálném čase: „Ano“. Jádro ochrany Defender.
     • Povolit sledování chování: „Ano“.
     • Skenovat všechny stažené soubory a přílohy: „Ano“. Ověření:
     • Naplánujte denní rychlou kontrolu: Nastavte nízkou dobu používání (např.: 12:00).
     • Typ plánovaného skenování: „Rychlé skenování“.
   • Výjimky: Pečlivě nakonfigurujte výjimky, abyste zabránili narušení bezpečnosti. K centrální správě použijte zásadu Microsoft Defender Antivirus Exclusions.
8. Přiřazení: Přiřaďte zásady skupině zařízení Azure AD.
9. Review + create: Zkontrolujte a vytvořte zásady.

Konfigurace Defender AV pomocí zásad skupiny (GPO)

Pro prostředí s místní službou Active Directory.

1. Otevřete Editor správy zásad skupiny.
2. Vytvořte jeden navo GPO nebo upravit existující a propojit jej s požadovanou OU (organizační jednotkou).
3. Přejděte na Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Microsoft Defender Antivirus.
4. Nakonfigurujte následující zásady (nastavte na „Povoleno“ a upravte možnosti):
   • Zakázat Microsoft Defender Antivirus: Nastavte na „Zakázáno“, abyste zajistili, že bude vždy zapnutý.
   • Ochrana v reálném čase:
     • Povolit sledování chování
     • Prohledat všechny stažené soubory a přílohy
     • Monitorujte aktivitu souborů a programů v počítači
   • MAPS (ekvivalent cloudové ochrany):
     • Připojit se k Microsoft MAPS: Vyberte Advanced MAPS.
     • Konfigurovat funkci 'Blokovat na první pohled': ,Povoleno. Ověření:
     • Nakonfigurujte možnosti plánované kontroly, jako je „Typ kontroly“ a „Den kontroly“.

Validace a monitorování

• Místně: Na klientském zařízení otevřete aplikaci Zabezpečení systému Windows a ověřte, že nastavení „Ochrana před viry a hrozbami“ spravuje vaše organizace.
• Via PowerShell: Spusťte příkaz Get-MpComputerStatus, abyste viděli stav antiviru, včetně AMRunningMode (mělo by být „Normální“) a data podpisu.
• Microsoft 365 Defender Portal: Pokud máte Defender for Endpoint, portál (security.microsoft.com) nabízí podrobné zprávy o stavu antiviru na všech vašich zařízeních v části Zprávy > Stav zařízení.

Závěr

Správná konfigurace Microsoft Defender Antivirus je základním krokem v ochraně koncových bodů organizace. Ať už prostřednictvím moderní správy pomocí Microsoft Intune nebo tradiční správy pomocí GPO, konzistentní uplatňování zásad zabezpečení zajišťuje, že první obranná linie vaší společnosti je robustní, odolná a vždy aktuální proti nejnovějším hrozbám. Nepřetržité monitorování prostřednictvím portálů společnosti Microsoft uzavírá kruh a poskytuje viditelnost potřebnou k zajištění souladu a zabezpečení vašeho prostředí.

Reference

[1] Microsoft. (2023). Microsoft Defender Antivirus ve Windows. [2] Microsoft. (2023). Spravujte Microsoft Defender Antivirus pomocí Microsoft Intune. [3] Microsoft. (2023). Používejte nastavení zásad skupiny ke konfiguraci a správě Microsoft Defender Antivirus.