Microsoft Defender: Naplánování automatických kontrol

  • Nastavte si plánované rychlé kontroly a doplňte je ochranou v reálném čase.
  • Vyberte si z rychlé, plné nebo vlastní varianty na základě scénáře a dopadu.
  • Spravujte pomocí GPO, Intune, PowerShellu, WMI a Defender Portal pro větší kontrolu.
  • Optimalizace výkonu a zohlednění omezení pošty a síťového disku.
Daniel Terrasa

9 minut

Automatické kontroly v programu Microsoft Defender

Automatizace antivirových kontrol pomocí programu Microsoft Defender Umožňuje vám chránit počítače, aniž byste museli přerušovat svou každodenní práci, a to spouštěním pravidelných kontrol, když je systém nečinný nebo během vámi definovaných období. V tomto článku podrobně vysvětlíme, jak tyto automatické kontroly fungují, jaké typy existují a jak si vybrat tu nejvhodnější pro každý scénář.

Analyzovali jsme také některé optimalizace výkonu, aby se zabránilo zbytečným kontrolám, Důležitá omezení, jako je zpracování e-mailů a mapovaných síťových disků, a také vylepšení v oblasti informací o hrozbách, jako je automatická analýza detonace souborů a URL adres integrovaná do prostředí Defender XDR.

Co máme na mysli automatickými kontrolami v programu Microsoft Defender?

Automatické analýzy jsou Plánované kontroly, které rozšiřují ochranu v reálném čase v aplikaci Microsoft Defender Antivirus., která kontroluje soubory při jejich otevírání nebo zavírání a při procházení složek. Cílem je pravidelně a proaktivně prohledávat počítač, ideálně když jej nepoužíváte, aby se minimalizoval dopad na produktivitu.

Kromě běžného programování můžete vynucovat jednorázové kontroly na vyžádání a dokonce spouštět vzdálené skenování z portálu microsoft obránce, což vám dává plnou kontrolu nad reakcí na příznaky možné infekce nebo nad ověřením, zda byla předchozí hrozba zcela odstraněna.

antivirus

Typy skenování v programu Microsoft Defender: Rychlé, Úplné a Vlastní

  • Rychlé vyšetření (doporučeno)Tento typ skenování kontroluje kritická místa, kde se malware často perzistentně usazuje. V kombinaci s ochranou v reálném čase poskytuje robustní ochranu před hrozbami, které začínají v systému, a před malwarem na úrovni jádra, bez nadměrné spotřeby zdrojů.
  • Relevantní novinka rychlého vyšetření- Od aktualizace platformy z prosince 2023 (4.18.2311.xx) je k dispozici ukázková verze funkce „Rychlá kontrola zahrnuje výjimky“, která umožňuje kontrolovat soubory a adresáře během rychlé kontroly, jež jsou vyloučeny z ochrany v reálném čase pomocí kontextových výjimek.
  • Kompletní zkouškaZačne rychlou kontrolou a poté prohledá všechny připojené pevné disky a také vyměnitelné nebo síťové disky, pokud je nakonfigurujete. To může trvat hodiny nebo i dny, v závislosti na objemu a typu dat.
  • Personalizovaná zkouškaZaměřuje se na vámi zvolené cesty: konkrétní složky, USB disk, konkrétní síťové umístění atd. Je užitečný pro ověřování přenosných médií nebo systémových oblastí, které chcete konkrétně prohledat.
Windows Defender
Související článek:
Jak naplánovat skenování programu Windows Defender v určitou dobu

Naplánování automatických kontrol: možnosti a kroky

Naplánované zkoušky jsou doplněk k ochraně v reálném čase a lze jej definovat na denní nebo týdenní báziExistují dva nativní režimy plánování: denní (pouze rychlá kontrola) a týdenní (rychlá nebo úplná). Plánované kontroly se spouštějí na základě místního časového pásma zařízení.

Pokud dáváte přednost doladění plánu v systému Windows, můžete použít Plánovač úlohJako obecný návod jsou zde uvedeny klíčové kroky:

  1. Na vyhledávací liště, zadejte „Plánovač úloh“ a otevřete aplikaci.
  2. V levém panelu, rozbalte „Knihovna plánovače úloh“ > „Microsoft“ > „Windows“ a přejděte do složky „Windows Defender“.
  3. V centrálním panelu, dvakrát klikněte na „Naplánované prověřování v programu Windows Defender“.
  4. Ve vlastnostech plánované kontroly, přejděte na kartu „Spouštěče“ a vyberte možnost „Nový“.
  5. Určuje frekvenci s jakým chcete, aby zkouška probíhala, a preferovaný čas zahájení.

Automatické prověřování v programu Microsoft Defender

Plánovaná optimalizace výkonu pro rychlé zkoušky

Aby se minimalizoval dopad, Defender může přeskočit naplánované rychlé skenování, pokud již bylo v posledních 7 dnech provedeno „kvalifikované“ skenování.Tato optimalizace se týká pouze plánovaných rychlých skenů; neovlivňuje manuální rychlé skenování na vyžádání.

Pokud nejsou splněny interní kvalifikační podmínky poslední zrychlené zkoušky, optimalizace se nepoužije a systém spustí plánované skenování. Ačkoli podrobná kritéria nejsou v tomto výňatku uvedena, záměrem je vyhnout se zbytečnému opakování bez ohrožení ochrany.

Klíčové body a osvědčené postupy, které je třeba zvážit:

  • Ochrana v reálném čase + rychlá kontrolaKombinace obou poskytuje silné pokrytí, protože ochrana v reálném čase kontroluje každý otevřený nebo zavřený soubor a každou složku, ke které uživatel přistupuje, zatímco rychlá ochrana kontroluje umístění perzistence.
  • Ochrana v clouduCloudová ochrana a řízený přístup usnadňují vyhodnocování souborů, ke kterým je přístup, pomocí nejnovějších cloudových inteligencí a modelů strojového učení.
  • Eskalace k úplnému vyšetření u určitých detekcíPokud ochrana v reálném čase detekuje malware a zpočátku nedokáže určit příponu postižených souborů, může Defender v rámci procesu nápravy zahájit úplnou kontrolu.
  • Dopad a trváníÚplné zkoušky spotřebovávají více zdrojů a mohou trvat déle. Pečlivě si zvažte svůj harmonogram a upřednostněte rychlé vyšetření jako výchozí možnost, plné vyšetření si vyhraďte pro specifické případy.

Konfigurace pomocí Intune, Configuration Manageru a skupinových zásad

  • Microsoft IntuneNastavení skenování a omezení zařízení můžete nakonfigurovat z Intune, včetně správy antivirové ochrany Defender ve Windows 10 a Windows 11. Zobrazení Endpoint Security umožňuje centrálně aplikovat antivirové zásady.
  • Microsoft Configuration Manager (aktuální větev)Pokud používáte nástroj ConfigMgr, můžete v části Nastavení skenování vytvářet a nasazovat zásady ochrany proti malwaru, které definují kadence a chování pro spravované klienty.
  • Zásady skupiny (GPO)V konzoli Správa zásad skupiny upravte požadovaný objekt GPO a přejděte do části „Konfigurace počítače“ > „Šablony pro správu“ > „Součásti systému Windows“ > „Microsoft Defender Antivirus“. Vyberte příslušné umístění a podle potřeby upravte zásady. Klikněte na tlačítko „OK“ a postup opakujte pro další možnosti.

Hlavní možnosti GPO a související parametry

  • Zkoumání e-mailů (Skenování > Povolit skenování e-mailů). Výchozí: Zakázáno. PowerShell: -DisableEmailScanningOmezení e-mailů naleznete níže.
  • Skriptová zkouškaVe výchozím nastavení povoleno. Umožňuje povolit nebo zachovat skenování skriptů. Odkaz: Defender/AllowScriptScanning.
  • Body reanalýzy (Skenování > Povolit skenování bodů reanalýzy). Výchozí nastavení: Zakázáno. Parametr Přímé skenování není k dispozici; viz Průvodce body reanalýzy.
  • Namapované síťové disky v rámci kompletní zkoušky (Skenování > Spustit úplnou kontrolu namapovaných síťových disků). Výchozí: Zakázáno. PowerShell: -DisableScanningMappedNetworkDrivesForFullScan.
  • Archivovat soubory (Skenování > Skenování archivních souborů). Výchozí nastavení povoleno. PowerShell: -DisableArchiveScanningSeznam vyloučených rozšíření má prioritu.
  • Síťové soubory (Skenování > Skenování síťových souborů). Výchozí nastavení je zakázáno. PowerShell: -DisableScanningNetworkFilesNěkteré šablony také zobrazují „Konfiguraci skenování síťových souborů“ jako ve výchozím nastavení povolenou; vezměte prosím na vědomí možné rozdíly mezi verzemi ADMX.
  • Zabalené spustitelné soubory (Skenování > Skenování zabalených spustitelných souborů). Ve výchozím nastavení povoleno. Tato možnost byla odebrána z některých šablon pro správu systému Windows 11 (21H2, 22H2 a 23H2). Neexistuje žádné ekvivalentní nastavení.
  • Vyměnitelné jednotky (Skenovat > Skenovat vyměnitelné disky pouze během úplného skenování). Výchozí: Zakázáno. PowerShell: -DisableRemovableDriveScanning.
  • Maximální hloubka archivních souborů (Skenovat > Zadat maximální hloubku). Výchozí hodnota 0. Žádný parametr není k dispozici.
  • Maximální využití CPU (Skenování > Maximální procento CPU během skenování). Výchozí hodnota 50. PowerShell: -ScanAvgCPULoadFactorJe to orientační průměr, nikoli pevný limit; manuální testy ho ignorují.
  • Maximální velikost souboru archivu (Skenovat > Zadat maximální velikost v KB). Výchozí hodnota je neomezená (hodnota 0 znamená žádný limit). Není k dispozici žádný parametr.
  • Nízká priorita CPU pro plánované zkouškyVýchozí nastavení je zakázáno. Žádný přímý parametr.
  • Typ omezení CPUVe výchozím nastavení zakázáno. PowerShell: -ThrottleForScheduledScanOnly.
  • Zahrnout vyloučené v rychlém vyšetření (Kontrola > Vyloučené soubory a adresáře kontrolovat během rychlé kontroly). Ve výchozím nastavení zakázáno. Souvisí s možností zobrazení náhledu výjimek.

Provádějte zkoušky na vyžádání a na dálku

Portál Microsoft Defenderu (security.microsoft.com)Vzdálené skenování na zařízení můžete spustit:

  1. Vstupte na portál a přihlaste se.
  2. Otevřít stránku zařízení objektivní.
  3. Vyberte tři tečky (…) a vyberte možnost „Spustit antivirovou kontrolu“.
  4. Vyberte typ zkoušky mezi rychlým a úplným, přidejte komentář a potvrďte.

Zkontrolovat stav v Centru akcíPřejděte do sekce „Akce a odesílání“ > „Centrum akcí“ > karta „Historie“. V části „Filtry“ vyberte typ akce „Spustit antivirovou kontrolu“, použijte ji a zkontrolujte stav. Po dokončení se zobrazí stav „Dokončeno“.

Microsoft IntuneMáte dva běžné způsoby, jak složit zkoušku:

  • Zabezpečení koncových bodů > AntivirusV seznamu akcí vyberte možnost Rychlá kontrola (doporučeno) nebo Úplná kontrola v systému Windows 10 nebo Windows 11.
  • Zařízení > Všechna zařízeníPřejděte na požadované zařízení, vyberte „… Více“ a spusťte Rychlé skenování nebo Úplné skenování.

Aplikace zabezpečení systému WindowsNa samotném koncovém bodě můžete spustit skenování z nativní aplikace Zabezpečení systému Windows, což je ideální pro namátkové kontroly.

PowerShellPro zahájení zkoušky použijte Start-MpScanPokud chcete, aby rychlá kontrola zahrnovala i výjimky, nastavte předvolbu pomocí Set-MpPreference -QuickScanIncludeExclusions 1.

Příkazový řádek (mpcmdrun.exe). USA mpcmdrun.exe -scan -scantype 1 pro rychlé skenování. Nástroj nabízí další parametry pro úplné nebo specifické cesty, což je užitečné ve skriptech nebo prostředích bez rozhraní.

WMIProstřednictvím třídy MSFT_MpScan a jeho metoda Start Skenování můžete automatizovat z nástrojů pro správu, které orchestrují volání WMIv2.

mdti

Co je nového: Automatická analýza detonací souborů a URL adres

Microsoft Defender Threat Intelligence (MDTI) obsahuje funkci automatické detonace souborů a URL adres, integrovaný do rozhraní Defender XDR. Když hledáte soubor nebo URL bez výsledků reputace, spustí se asynchronní proces detonace na pozadí, zejména v oblasti USA.

Pokud zpočátku nedojde k žádné reputaci nebo detonaci, MDTI znovu zkusí dotaz na daný soubor nebo URL na pozadí. Ačkoli neexistuje žádná pevná SLA pro objem a dostupnost, provozním cílem je doručit výsledky přibližně do dvou hodin, v závislosti na zatížení systému.

Tato automatizace rozšiřuje znalostní základnu o globální hrozebné krajině, což bezpečnostním týmům poskytuje hlubší a včasnější vhled do neznámých souborů a URL adres a tím posiluje obranu.

Platí pro platformy a verze

Popsané funkce jsou zaměřeny na koncové body Windows spravované pomocí antivirové ochrany Microsoft Defender.Zejména optimalizace pro přeskočení naplánovaných rychlých kontrol se vztahuje na Windows 10 Anniversary Update (1607) a novější a Windows Server 2016 (1607) a novější, s výjimkou instalací Core Server.

Posilte své bezpečnostní opatření prostudováním dokumentace o osvědčených postupech pro zkoušky a informace o antivirové ochraně Microsoft Defender a také nápovědu a studijní materiály k zabezpečení společnosti Microsoft.