Настройка антивирусной программы Microsoft Defender в корпоративной среде

Настройка антивирусной программы Microsoft Defender в корпоративной среде

08.09.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам эффективно настраивать и управлять антивирусной программой Microsoft Defender (MDAV) в корпоративных средах. MDAV, являющийся неотъемлемой частью операционной системы Windows, превратился из базового решения в надежный и фундаментальный компонент стратегии безопасности Microsoft, предлагающий защиту конечных точек нового поколения от широкого спектра угроз, включая вредоносные программы, программы-вымогатели и бесфайловые атаки [1].

Введение

В постоянно меняющемся мире киберугроз наличие надежного и хорошо настроенного антивирусного решения является первой линией защиты для любой организации. Антивирусная программа Microsoft Defender при централизованном управлении обеспечивает мощную защиту, которая легко интегрируется с экосистемой Microsoft, обеспечивая унифицированную видимость и контроль. В этом руководстве будут рассмотрены наиболее распространенные методы настройки Defender AV в корпоративных средах, обеспечивающие последовательную и эффективную защиту вашей организации.

Инструменты управления

Существует несколько способов управления Microsoft Defender AV в корпоративной среде. Наиболее распространенными являются:

  • Microsoft Intune (рекомендуется): для организаций, использующих современное облачное управление. Предоставляет централизованный интерфейс на портале Microsoft Endpoint Manager для создания и развертывания политик безопасности.
  • Групповая политика (GPO): для организаций с локальной инфраструктурой Active Directory. Позволяет настройку через объекты групповой политики.
  • Диспетчер конфигурации конечных точек Microsoft (MECM/SCCM): для крупномасштабного управления, часто в гибридных средах.
  • PowerShell: для детальной или массовой автоматизации и настройки.

В этом руководстве основное внимание будет уделено двум наиболее популярным методам: Intune и GPO.

Предварительные условия

  • Операционная система: Windows 10, Windows 11 или Windows Server 2016 и более поздние версии.
  • Административный доступ: разрешения администратора Intune (для Intune) или администратора домена (для объекта групповой политики).
  • Лицензирование: Defender AV включен в состав Windows. Расширенные функции (например, Microsoft Defender для конечной точки) требуют дополнительного лицензирования (например, Microsoft 365 E5).

Настройка Defender AV с помощью Microsoft Intune

Это современный и рекомендуемый подход для устройств с облачным управлением.

  1. Перейдите на портал Microsoft Intune: https://intune.microsoft.com.
  2. Перейдите в Endpoint Security > Антивирус.
  3. Нажмите Создать политику.
  4. Выберите:
    • Платформа: Windows 10 и более поздние версии
    • Профиль: Антивирусная программа Microsoft Defender
  5. Нажмите Создать.
  6. Основные сведения. Дайте политике имя (например: «Windows — Политика по умолчанию Defender AV») и описание. Нажмите Далее.
  7. Настройки конфигурации. Это самый важный шаг. Настройте следующие разделы, используя лучшие практики:
    • Облачная защита:
      • Включить облачную защиту: «Да». Необходим для сбора информации об угрозах в режиме реального времени.
      • Уровень защиты, обеспечиваемый в облаке: «Высокий». Предлагает более агрессивное обнаружение.
      • Увеличенное время ожидания облака Защитника: 50 секунд. Это дает облачному сервису больше времени для анализа подозрительных файлов.
    • Защита в реальном времени:
      • Включить постоянную защиту: Да. Ядро защиты Defender.
      • Включить мониторинг поведения: Да.
      • Сканировать все загруженные файлы и вложения: Да.
    • Проверка:
      • Запланируйте ежедневную быструю проверку. Установите минимальное время использования (например: 12:00).
      • Тип планового сканирования: Быстрое сканирование.
    • Исключения: тщательно настраивайте исключения, чтобы избежать нарушений безопасности. Используйте политику Исключения антивирусной программы Microsoft Defender для централизованного управления этим.
  8. Назначения. Назначьте политику группе устройств Azure AD.
  9. Просмотр + создание: просмотрите и создайте политику.

Настройка Defender AV с помощью групповой политики (GPO)

Для сред с локальной Active Directory.

  1. Откройте Редактор управления групповыми политиками.
  2. Создайте его наvo GPO или отредактируйте существующий и привяжите его к нужному OU (Organizational Unit).
  3. Перейдите в «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «Антивирусная программа Microsoft Defender».
  4. Настройте следующие политики (установите значение «Включено» и настройте параметры):
    • Отключить антивирусную программу Microsoft Defender: установите значение «Отключено», чтобы она всегда была включена.
    • Защита в реальном времени:
      • Включить мониторинг поведения
      • Сканировать все загруженные файлы и вложения
      • Отслеживать активность файлов и программ на вашем компьютере
    • MAPS (эквивалент облачной защиты):
      • «Присоединиться к Microsoft MAPS»: выберите «Расширенные карты».
      • Настроить функцию «Блокировать при первом взгляде»: Включено.
    • Проверка:
      • Настройте параметры запланированного сканирования, такие как «Тип сканирования» и «День сканирования».

Проверка и мониторинг

  • Локально: на клиентском устройстве откройте приложение Безопасность Windows, чтобы убедиться, что параметры «Защита от вирусов и угроз» управляются вашей организацией.
  • Через PowerShell: запустите команду Get-MpComputerStatus, чтобы просмотреть статус антивируса, включая AMRunningMode (должно быть «Нормальный») и даты подписи.
  • Портал Microsoft 365 Defender: если у вас есть Defender для конечной точки, портал (security.microsoft.com) предлагает подробные отчеты о состоянии антивирусной защиты на всех ваших устройствах в разделе Отчеты > Состояние устройства.

Заключение

Правильная настройка антивирусной программы Microsoft Defender — это фундаментальный шаг в защите конечных точек организации. Будь то современное управление с помощью Microsoft Intune или традиционное управление с помощью объектов групповой политики, последовательное применение политик безопасности гарантирует, что первая линия защиты вашей компании будет надежной, отказоустойчивой и всегда актуальной против новейших угроз. Непрерывный мониторинг через порталы Microsoft замыкает цикл, обеспечивая видимость, необходимую для обеспечения соответствия требованиям и безопасности вашей среды.

Ссылки

[1] Майкрософт. (2023). Антивирусная программа Microsoft Defender в Windows. [2] Майкрософт. (2023). Управление антивирусной программой Microsoft Defender с помощью Microsoft Intune. [3] Майкрософт. (2023). Используйте параметры групповой политики для настройки антивирусной программы Microsoft Defender и управления ею.