Microsoft Defender Antivirus configureren in bedrijfsomgevingen

Microsoft Defender Antivirus configureren in bedrijfsomgevingen

09/08/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het effectief configureren en beheren van Microsoft Defender Antivirus (MDAV) in bedrijfsomgevingen. MDAV, dat een integraal onderdeel is van het Windows-besturingssysteem, is geëvolueerd van een basisoplossing naar een robuust en fundamenteel onderdeel van de beveiligingsstrategie van Microsoft en biedt eindpuntbescherming van de volgende generatie tegen een breed scala aan bedreigingen, waaronder malware, ransomware en bestandsloze aanvallen [1].

Introductie

In een steeds evoluerend landschap van cyberdreigingen is het hebben van een betrouwbare en goed geconfigureerde antivirusoplossing de eerste verdedigingslinie voor elke organisatie. Microsoft Defender Antivirus biedt, indien centraal beheerd, krachtige bescherming die naadloos integreert met het Microsoft-ecosysteem en uniforme zichtbaarheid en controle biedt. Deze handleiding behandelt de meest gebruikelijke methoden voor het configureren van Defender AV in bedrijfsomgevingen, zodat uw organisatie consistent en effectief wordt beschermd.

Beheerhulpmiddelen

Er zijn verschillende manieren om Microsoft Defender AV in een bedrijfsomgeving te beheren. De meest voorkomende zijn:

  • Microsoft Intune (aanbevolen): voor organisaties die modern cloudgebaseerd beheer gebruiken. Biedt een gecentraliseerde interface in de Microsoft Endpoint Manager-portal voor het maken en implementeren van beveiligingsbeleid.
  • Groepsbeleid (GPO): voor organisaties met een on-premises Active Directory-infrastructuur. Maakt configuratie via groepsbeleidsobjecten mogelijk.
  • Microsoft Endpoint Configuration Manager (MECM/SCCM): voor grootschalig beheer, vaak in hybride omgevingen.
  • PowerShell: voor granulaire of bulkautomatisering en configuraties.

Deze handleiding richt zich op de twee populairste methoden: Intune en GPO.

Vereisten

  • Besturingssysteem: Windows 10, Windows 11 of Windows Server 2016 en hoger.
  • Beheerderstoegang: machtigingen voor Intune-beheerder (voor Intune) of Domeinbeheerder (voor GPO).
  • Licenties: Defender AV wordt meegeleverd met Windows. Voor geavanceerde functies (zoals Microsoft Defender for Endpoint) zijn aanvullende licenties vereist (bijvoorbeeld: Microsoft 365 E5).

Defender AV configureren met Microsoft Intune

Dit is de moderne en aanbevolen aanpak voor in de cloud beheerde apparaten.

  1. Ga naar de Microsoft Intune-portal: https://intune.microsoft.com.
  2. Navigeer naar Endpoint Security > Antivirus.
  3. Klik op Beleid maken.
  4. Selecteer:
    • Platform: Windows 10 en hoger
    • Profiel: Microsoft Defender Antivirus
  5. Klik op Maken.
  6. Basisprincipes: geef het beleid een naam (bijvoorbeeld: Windows - Defender AV standaardbeleid) en een beschrijving. Klik op Volgende.
  7. Configuratie-instellingen: dit is de belangrijkste stap. Configureer de volgende secties met best practices:
    • Cloudbescherming:
      • Schakel door de cloud geleverde bescherming in: Ja. Essentieel voor realtime informatie over dreigingen.
      • Beschermingsniveau geboden in de cloud: Hoog. Biedt agressievere detectie.
      • Verlengde Defender Cloud-time-out: 50 seconden. Het geeft de clouddienst meer tijd om verdachte bestanden te analyseren.
    • Realtime bescherming:
      • Real-time bescherming inschakelen: Ja. De kern van Defender-bescherming.
      • Gedragsmonitoring inschakelen: Ja.
      • Scan alle gedownloade bestanden en bijlagen: Ja.
    • Verificatie:
      • Plan een dagelijkse snelle controle: Stel een lage gebruikstijd in (bijvoorbeeld: 12:00 uur).
      • Gepland scantype: Snelle scan.
    • Uitsluitingen: configureer uitsluitingen zorgvuldig om inbreuken op de beveiliging te voorkomen. Gebruik het beleid Microsoft Defender Antivirus Uitsluitingen om dit centraal te beheren.
  8. Toewijzingen: Wijs het beleid toe aan een groep Azure AD-apparaten.
  9. Controleren + maken: Controleer en maak het beleid.

Defender AV configureren met groepsbeleid (GPO)

Voor omgevingen met lokale Active Directory.

  1. Open de Groepsbeleidsbeheer-editor.
  2. Maak er een aanvo GPO of bewerk een bestaande en koppel deze aan de gewenste OU (Organisatie-eenheid).
  3. Navigeer naar 'Computerconfiguratie > Beheersjablonen > Windows-componenten > Microsoft Defender Antivirus'.
  4. Configureer het volgende beleid (stel in op 'Ingeschakeld' en pas de opties aan):
    • Microsoft Defender Antivirus uitschakelen: stel deze in op 'Uitgeschakeld' om ervoor te zorgen dat deze altijd ingeschakeld is.
    • Realtime bescherming:
      • Gedragsmonitoring inschakelen
      • Scan alle gedownloade bestanden en bijlagen
      • Bewaak de activiteit van bestanden en programma's op uw computer
    • MAPS (equivalent aan Cloud Protection):
      • Word lid van Microsoft MAPS: Selecteer Geavanceerde KAARTEN.
      • Configureer de functie 'Blokkeren op het eerste gezicht'':Ingeschakeld`.
    • Verificatie:
      • Configureer geplande scanopties zoals 'Scantype' en 'Scandag'.

Validatie en monitoring

  • Lokaal: open op een clientapparaat de app Windows Beveiliging om te verifiëren dat de instellingen voor Virus- en bedreigingsbeveiliging worden beheerd door uw organisatie.
  • Via PowerShell: Voer de opdracht Get-MpComputerStatus uit om de antivirusstatus te bekijken, inclusief AMRunningMode (moet "Normaal" zijn) en handtekeningdatums.
  • Microsoft 365 Defender Portal: als u Defender for Endpoint heeft, biedt de portal (security.microsoft.com) gedetailleerde rapporten over de antivirusstatus op al uw apparaten onder Rapporten > Apparaatstatus.

Conclusie

Het correct configureren van Microsoft Defender Antivirus is een fundamentele stap bij het beschermen van de eindpunten van een organisatie. Of het nu gaat om modern beheer met Microsoft Intune of traditioneel beheer met GPO's, consistente toepassing van beveiligingsbeleid zorgt ervoor dat de eerste verdedigingslinie van uw bedrijf robuust, veerkrachtig en altijd up-to-date is tegen de nieuwste bedreigingen. Continue monitoring via Microsoft-portals sluit de cirkel en biedt de zichtbaarheid die nodig is om de compliance en veiligheid van uw omgeving te garanderen.

Referenties

[1]Microsoft. (2023). Microsoft Defender Antivirus in Windows. [2]Microsoft. (2023). Beheer Microsoft Defender Antivirus met Microsoft Intune. [3]Microsoft. (2023). Gebruik Groepsbeleid-instellingen om Microsoft Defender Antivirus te configureren en beheren.