loading...

30.08.2022

Защитника Windows достаточно, если его усилить!

Эта статья не предназначена для того, чтобы убедить вас отказаться от текущих антивирусных решений. В этом посте я хотел бы поделиться своими наблюдениями и путями повышения эффективности Defender.

Вам не нужно покупать дорогое антивирусное программное обеспечение. Если вы являетесь обычным пользователем, просматривая веб-страницы, если вы не хотите устанавливать дополнительное программное обеспечение (например, которое может замедлить работу вашего ПК), или у вас просто есть другие вещи для покупки, вы определенно можете использовать антивирусное программное обеспечение, встроенное в вашу операционную систему Windows. Идеального решения не существует, и нет ничего страшного, если вы установите бесплатный или платный антивирус, вы всегда можете быть заражены, если не используете собственный мозг. Иногда сломать человека легче, чем его компьютерную безопасность. Тогда даже самое дорогое решение не поможет.

К сожалению, никто не проверяет чьи-либо навыки перед покупкой первого компьютера или смартфона. Если вы хотите водить автомобиль, вам нужно получить водительские права. Если вы хотите стрелять из пистолета, вам нужно получить разрешение. Если вы хотите подключиться к Интернету и взаимодействовать с ним, вам не нужно ничего делать. Читая некоторые комментарии на случайных сайтах, я думаю, некоторым юзверям даже не нужен мозг. Каждый пользователь Интернета в наши дни должен быть осторожным, проверять ссылки, проверять источники и быть в курсе. У любого, даже специалиста по безопасности, может быть неудачный день, поэтому где-то в фоновом режиме должна быть запущена программа для защиты вашего компьютера и данных.

Есть люди, которые хвастаются, что у них никогда не было антивирусной программы. Есть некоторые, кто считает, что бесплатные решения — это дерьмо. Есть и те, кто пишет, что у вас должна быть антивирусная программа и желательно самая дорогая со всеми функциями. На мой взгляд, вы можете иметь все, что захотите. Но если у вас есть Windows и встроенная антивирусная программа, что не самое худшее, лучше включить ее и похвастаться тем, что вам никогда не придется вмешиваться, чем однажды плакать о том, что ваши данные зашифрованы.

защитник

Защитник Windows — это простое, но очень хорошее, встроенное антивирусное и защитное решение для защиты от угроз в современной ОС Windows. Он имеет учетную запись, управление приложением и браузером, брандмауэр и сетевую защиту, и это помогает вам обеспечить безопасность вашего устройства. Интерфейс программного обеспечения немного отличается от стандартного графического интерфейса антивирусного программного обеспечения, с которым вы знакомы. Здесь также не так много вариантов конфигурации, но все доступные коммутаторы хорошо описаны.

Defender используется не только дома, но и многие крупные компании используют Defender в сочетании с Sentinel (SIEM) и ASC в качестве своей основной защиты. Я сам имел возможность работать в одной из таких компаний и это решение дало очень хорошие результаты. Потому что кто, если не только Microsoft, может защитить свою систему лучше всего. Конечно, вместе с коллегами по работе мы часто смеялись над тем, что все глобальные компании, использующие Defender в производстве, являются бета-тестировщиками (глобальной средой тестирования) для продуктов Microsoft. Сколько раз интерфейс администрирования менялся без какого-либо объявления, или названия продуктов развивались, когда-то это был Microsoft Defender, затем Защитник Windows, иногда вы смотрели на консоли Defender, затем это был Defender for Endpoint, а затем Defender ATP и Defender Security Center и т. Д. Было время, когда я не знал, где я вхожу в систему и как это называется, я просто анализировал оповещения под текущей рабочей ссылкой 🙂

Но сегодня давайте сосредоточимся на Defender для домашнего пользователя. Он не имеет дополнительных функций, которые предлагаются другими коммерческими решениями, но того, что он делает, достаточно. Однако стоит включить некоторые дополнительные функции, которые недоступны из графического интерфейса.

Эффективность многих антивирусных программ проверяется такими сайтами, как AV Comparatives или AV Test. Вы можете проверить, какой антивирус является «лучшим». Если вы потратите минутку, чтобы проанализировать это, вы увидите, что все меняется из месяца в месяц и из года в год. В прошлом у Defender были плохие оценки, теперь он лучше, как и продукты других компаний.

Поэтому, как я уже сказал, интерфейс не самый лучший, и включение некоторых функций, которые улучшат производительность Defender, требует некоторой возни с системой. Это, безусловно, отпугивает некоторых пользователей и отпугивает тех, кто хочет что-то установить, и все должно быть сделано за них. Но даже платные решения утомляют пользователей всплывающими окнами, спрашивая, что теперь, что дальше, и как бы вы хотели, чтобы это работало. Благодаря этому они узнают поведение пользователя, которое иногда представляет собой многонедельный процесс принятия решений и нажатия на кнопки, чтобы отключиться навсегда и уведомить вас только в случае чрезвычайной ситуации.

Параметры локальной групповой политики

Локальный параметр групповой политики является ключом к его улучшению и усилению защиты Защитника. Локальный редактор групповой политики доступен только в выпуске Pro/Enterprise, но его также можно добавить в домашнюю версию Windows. Если вы не хотите включать этот редактор, вы также можете изменить параметры, описанные ниже в главе PowerShell этой статьи. В любом случае прочитайте эту главу, чтобы понять, как это работает, тогда будет проще изменить параметры с помощью PowerShell.

Создайте файл и поместите внутрь код (он работает для Windows 10 и 11).gpedit-enable.bat

Эй, мужик! Просто не файл летучей мыши. Да, это правда, случайный парень, случайный код, случайный веб-сайт, убедитесь, что код в безопасности, нажмите на меня. Звучит как жуткий сценарий, полностью согласен. Это не обязательный шаг, и код был заимствован отсюда для Windows 11 и здесь для Windows 10. Проверьте ссылки для получения более подробной информации. Если вы доверяете ссылкам, которые я обслуживаю 🙂 В любом случае, большой плюс для бдительности.

In any other case Google yourself solution for enabling Local group policy editor.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
@echo off
nul 2>&1 «%SYSTEMROOT%\system32\cacls.exe» «%SYSTEMROOT%\system32\config\system»
REM —> If error flag set, we do not have admin.
if ‘%errorlevel%’ NEQ ‘0’ (
echo Requesting administrative privileges…
goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^(«Shell.Application»^) > «%temp%\getadmin.vbs»
echo UAC.ShellExecute «%~s0», «», «», «runas», 1 >> «%temp%\getadmin.vbs»
«%temp%\getadmin.vbs»
exit /B
:gotAdmin
if exist «%temp%\getadmin.vbs» ( del «%temp%\getadmin.vbs» )
pushd «%CD%»
CD /D «%~dp0»
pushd «%~dp0»
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3.mum >List.txt dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3.mum >>List.txt
for /f %%i in (‘findstr /i . List.txt 2^>nul’) do dism /online /norestart /add-package:»%SystemRoot%\servicing\Packages\%%i»
pause

Save it. Run it. Restart your PC and then run . Once editor is open you can continue with next steps.gpedit.msc

The code above is fancy version of checking admin rights and then enable policy editor.

Enable MAPS

Microsoft Advanced Protection Service (MAPS), enhances standard real-time protection by cloud-delivered protection and next-generation technologies.

Steps below will allow you to Join Microsoft Advanced Protection Service (MAPS), Configure Block at First Sight feature, Configure local setting override for reporting to Microsoft MAPS, Send file samples when further analysis is required, Select Cloud Protection level in Windows Defender and Configure extended cloud check.

In Local Group Policy Editor navigate to: or depends on your Windows version. Open entry and change it to . In options you can choose from dropdown menu MAPS level. Basic or Advanced Membership. (You can read about both in Help.) I choose .Computer Configuration > Administrative Templates > Windows Components > Windows Defender Antivirus > MapsComputer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > MapsJoin Microsoft MAPSEnabledAdvanced Membership

MAPS gpedit

Configure Block at First Sight feature

Then open entry and also choose . Do the same for . In choose option based on your preferences. It is also very well described. I suggest .Configure the "Block at First Sight" featureEnabledConfigure the local setting override for reporting to Microsoft MAPSSend File Samples when further submission is requiredSend safe samples

MAPS gpedit

Далее перейдите к или . Отредактируйте запись, включите ее и установите для параметров значение . Этот параметр сделает антивирусную программу «Защитник Windows» более агрессивной при обнаружении подозрительных файлов. Последняя запись для редактирования: , включите его и установите время . Типичное время ожидания облачной проверки составляет 10 секунд. Чтобы включить функцию расширенной облачной проверки, укажите увеличенное время в секундах, до дополнительных 50 секунд.Computer Configuration > Administrative Templates > Windows Components > Windows Defender Antivirus > MpEngineComputer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > MpEngineSelect cloud protection levelHigh blocking levelConfigure extended cloud check50

Перезагрузите ПК.

Защита от программ-вымогателей

Это можно включить из графического интерфейса. Просто введите Меню Пуск, перейдите и в нижней части этого экрана выберите и нажмите и выберите Включить на .Windows SecurityVirus & Threat protectionRansomware protectionManage ransomware protectionControlled Folder access

Оболочка PowerShell

Использование PowerShell… Да, для настройки некоторых параметров в Защитнике необходимо использовать PowerShell. Запустите PowerShell от имени администратора и введите текст, чтобы проверить текущую конфигурацию Защитника.Get-MpPreference

Обновление подписи

Установите значение каждые 1 час. SignatureUpdateInterval

1Set-MpPreference -SignatureUpdateInterval 1

Также стоит принудительно обновлять новые сигнатуры перед началом каждого сканирования.

1Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Читайте о других параметрах в официальной документации и настраивайте их по своему усмотрению.

Включить MAPS

Если вы пропустили установку MAPS с помощью редактора локальных групповых политик, вы можете увидеть те же параметры в PowerShell.

MAPSReporting, 0 — отключено, 2 — включены угрозы и дополнительные данные будут отправлены в MS (Advanced Membership), 1 — только базовые данные (Basic Membership). Установите этот параметр с помощью . Это то же самое для всех других вариантов, описанных ниже.Set-MpPreference

SubmitSamplesConsent, 0 — Всегда запрашивать, 1 — Отправлять безопасные образцы автоматически, 2 — Никогда не отправлять, 3 — Отправлять все образцы автоматически.

CloudBlockLevel, описанный в документации, в разделе выше я предложил вариант 5 — Высокий уровень блокировки.

CloudExtendedTimeout, задайте значение .50

Потенциально нежелательное программное обеспечение

Это можно включить из графического интерфейса пользователя, но, поскольку вы уже являетесь профессиональным пользователем Защитника, вы также можете использовать PowerShell для этого.

PUAProtection, определяет уровень обнаружения потенциально нежелательных приложений. При загрузке потенциально нежелательного программного обеспечения или попытке установить его на компьютер выводится предупреждение.

Графический интерфейс пользователя

Конечно, остальные опции, которые вы должны просмотреть, доступны в графическом интерфейсе Защитника Windows. Наиболее важной является часть с , , (полезно, если вы используете Edge) и .App & browser controlReputation-based protectionIsolated browsingExploit Protection

Сводка

Как вы можете видеть, настройка Defender будет полезной, довольно проста, и даже вы, бабушка, можете это сделать. Нет.. Также молитесь, чтобы другое обновление не изменило ваши настройки на настройки по умолчанию 😉 Я скрестил пальцы для Защитника Windows, и я надеюсь, что в будущем он будет намного лучше и удобнее для пользователя с интеграцией для других веб-браузеров. Тем временем я использую Trend Micro Antivirus+, и когда лицензия закончится, я протестирую Bitdefender Antivirus Plus. Что, черт возьми, вы подумали? Что я использую Защитник? Слишком много работы с настройкой. Я слишком ленив. Дайте мне знать в комментариях, что вы предпочитаете, и что вы думаете о Defender?

Опубликовано в Windows