在企业环境中配置 Microsoft Defender 防病毒软件

在企业环境中配置 Microsoft Defender 防病毒软件

2024年9月8日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师在企业环境中有效配置和管理 Microsoft Defender 防病毒 (MDAV)。 MDAV 是 Windows 操作系统不可或缺的一部分,已从基本解决方案发展成为 Microsoft 安全战略的强大且基本组成部分,提供下一代端点保护,抵御各种威胁,包括恶意软件、勒索软件和无文件攻击 [1]。

简介

在不断发展的网络威胁环境中,拥有可靠且配置良好的防病毒解决方案是任何组织的第一道防线。 Microsoft Defender 防病毒软件在集中管理时可提供与 Microsoft 生态系统无缝集成的强大保护,从而提供统一的可见性和控制。本指南将涵盖在企业环境中配置 Defender AV 的最常用方法,确保您的组织受到一致且有效的保护。

管理工具

在企业环境中管理 Microsoft Defender AV 的方法有多种。最常见的是:

  • Microsoft Intune(推荐):适用于使用现代基于云的管理的组织。在 Microsoft Endpoint Manager 门户中提供集中式界面来创建和部署安全策略。
  • 组策略 (GPO):适用于拥有本地 Active Directory 基础设施的组织。允许通过组策略对象进行配置。
  • Microsoft Endpoint Configuration Manager (MECM/SCCM):用于大规模管理,通常在混合环境中。
  • PowerShell:用于粒度或批量自动化和配置。

本指南将重点介绍两种最流行的方法:IntuneGPO

先决条件

  • 操作系统:Windows 10、Windows 11 或 Windows Server 2016 及更高版本。
  • 管理访问权限:Intune 管理员(对于 Intune)或域管理员(对于 GPO)权限。
  • 许可:Defender AV 包含在 Windows 中。高级功能(例如 Microsoft Defender for Endpoint)需要额外许可(例如:Microsoft 365 E5)。

使用 Microsoft Intune 配置 Defender AV

这是云管理设备的现代推荐方法。

  1. 转到 Microsoft Intune 门户https://intune.microsoft.com
  2. 导航到 端点安全 > 防病毒
  3. 单击创建策略
  4. 选择:
    • 平台Windows 10 及更高版本
    • 配置文件Microsoft Defender 防病毒软件
  5. 单击“创建”。
  6. 基础知识:为策略指定名称(例如:“Windows - Defender AV 默认策略”)和说明。单击下一步
  7. 配置设置:这是最重要的一步。使用最佳实践配置以下部分:
    • 云保护
      • 启用云提供的保护:“是”。对于实时威胁情报至关重要。
      • 云中提供的保护级别:“高”。提供更积极的检测。
      • 延长 Defender Cloud 超时50 秒。它使云服务有更多时间来分析可疑文件。
    • 实时保护
      • 启用实时保护:“是”。 Defender保护的核心。
      • 启用行为监控:“是”。
      • 扫描所有下载的文件和附件:“是”。
    • 验证
      • 安排每日快速检查:设置低使用时间(例如:12:00)。
      • 计划扫描类型快速扫描
    • 排除:仔细配置排除以避免安全漏洞。使用 Microsoft Defender 防病毒排除 策略对此进行集中管理。
  8. 分配:将策略分配给一组 Azure AD 设备。
  9. 审核 + 创建:审核并创建策略。

使用组策略 (GPO) 配置 Defender AV

适用于具有本地 Active Directory 的环境。

  1. 打开组策略管理编辑器
  2. 创建一个vo GPO 或编辑现有 GPO 并将其链接到所需的 OU(组织单位)。
  3. 导航到“计算机配置 > 管理模板 > Windows 组件 > Microsoft Defender 防病毒”。
  4. 配置以下策略(设置为“已启用”并调整选项):
    • 禁用 Microsoft Defender 防病毒软件:设置为“已禁用”以确保其始终处于开启状态。
    • 实时保护
      • 启用行为监控
      • 扫描所有下载的文件和附件 *“监控计算机上文件和程序的活动”
    • MAPS(相当于云保护):
      • 加入 Microsoft MAPS:选择高级 MAPS
      • 配置“一见即阻止”功能: 启用
    • 验证
      • 配置计划扫描选项,例如“扫描类型”和“扫描日”。

验证和监控

  • 本地:在客户端设备上,打开 Windows 安全 应用程序以验证“病毒和威胁防护”设置是否由您的组织管理。
  • 通过 PowerShell:运行 Get-MpComputerStatus 命令查看防病毒状态,包括 AMRunningMode (应为“正常”)和签名日期。
  • Microsoft 365 Defender 门户:如果您有 Defender for Endpoint,则门户 (security.microsoft.com) 在 报告 > 设备运行状况 下提供有关所有设备的防病毒运行状况的详细报告。

结论

正确配置 Microsoft Defender 防病毒是保护组织终结点的基本步骤。无论是通过 Microsoft Intune 进行现代管理,还是通过 GPO 进行传统管理,安全策略的一致应用都可以确保您公司的第一道防线强大、有弹性,并且始终能够抵御最新的威胁。通过 Microsoft 门户进行持续监控形成闭环,提供确保环境合规性和安全性所需的可见性。

参考文献

[1] 微软。 (2023)。 Windows 中的 Microsoft Defender 防病毒软件。 [2] 微软。 (2023)。 使用 Microsoft Intune 管理 Microsoft Defender 防病毒软件。 [3] 微软。 (2023)。 使用组策略设置来配置和管理 Microsoft Defender 防病毒软件