Захисник Microsoft: Планування автоматичних сканувань

  • Налаштуйте швидке сканування за розкладом та доповніть його захистом у режимі реального часу.
  • Виберіть швидкий, повний або індивідуальний варіант залежно від сценарію та впливу.
  • Керуйте за допомогою GPO, Intune, PowerShell, WMI та Defender Portal для кращого контролю.
  • Оптимізує продуктивність та враховує обмеження пошти та мережевого диска.
Daniel Terrasa

9 хвилин

Автоматичне сканування в Microsoft Defender

Автоматизуйте антивірусне сканування за допомогою Microsoft Defender Це дозволяє вам захищати комп’ютери, не перериваючи вашу щоденну роботу, запускаючи періодичні сканування, коли система не використовується або протягом визначених вами періодів. У цій статті ми детально пояснюємо, як працюють ці автоматичні сканування, які типи існують і як вибрати найбільш підходящий для кожного сценарію.

Ми також проаналізували деякі оптимізація продуктивності для уникнення непотрібних сканувань, Важливі обмеження, такі як обробка електронної пошти та підключених мережевих дисків, а також покращення розвідки загроз, такі як автоматичний аналіз детонації файлів та URL-адрес, інтегрований у Defender XDR.

Що ми маємо на увазі під автоматичним скануванням у програмі Microsoft Defender?

Автоматичні аналізи є Заплановані сканування, що посилюють захист антивіруса Microsoft Defender у режимі реального часу., яка перевіряє файли під час їх відкриття або закриття, а також під час навігації між папками. Мета полягає в періодичному та проактивному скануванні комп’ютера, в ідеалі, коли ви його не використовуєте, щоб мінімізувати вплив на продуктивність.

Окрім звичайного програмування, ви можете змушувати проводити разові огляди на вимогу і навіть запускати віддалене сканування з порталу Захисник Microsoft, що дає вам повний контроль над реагуванням на ознаки можливого зараження або перевіркою того, що попередня загроза була повністю усунена.

антивірус

Типи сканування в Microsoft Defender: швидке, повне та налаштування

  • Швидкий іспит (рекомендовано)Цей тип сканування перевіряє критичні місця, де шкідливе програмне забезпечення часто встановлює стійкість. У поєднанні із захистом у режимі реального часу він забезпечує надійний захист від загроз, що починаються з системи, та від шкідливого програмного забезпечення рівня ядра без надмірного споживання ресурсів.
  • Відповідна новизна експрес-експертизи- Починаючи з оновлення платформи за грудень 2023 року (4.18.2311.xx), доступна попередня версія функції «Швидке сканування включає виключення» для сканування файлів і каталогів під час швидкого сканування, які виключені з захисту в режимі реального часу за допомогою контекстних виключень.
  • Повний іспитВін починається зі швидкого сканування, а потім сканує всі підключені стаціонарні диски, а також знімні або мережеві диски, якщо ви це налаштуєте. Це може тривати години або навіть дні, залежно від обсягу та типу даних.
  • Персоналізований іспитВін зосереджується на вибраних вами шляхах: певні папки, USB-накопичувач, певне мережеве розташування тощо. Це корисно для перевірки портативних носіїв або системних областей, які потрібно сканувати саме.
Windows Defender
Пов'язана стаття:
Як запланувати сканування Windows Defender на певний час

Планування автоматичного сканування: параметри та кроки

Заплановані іспити додатково до захисту в режимі реального часу та може бути визначений на щоденній або щотижневій основіІснує два вбудованих режими планування: щоденний (лише швидке сканування) та щотижневий (швидке або повне). Заплановані сканування запускаються на основі місцевого часового поясу пристрою.

Якщо ви бажаєте точно налаштувати свій розклад у Windows, ви можете скористатися Планувальник завданьЯк загальне керівництво, ось ключові кроки:

  1. У рядку пошуку, введіть «Планувальник завдань» і відкрийте програму.
  2. На лівій панелі, розгорніть «Бібліотека планувальника завдань» > «Microsoft» > «Windows» та перейдіть до папки «Захисник Windows».
  3. У центральній панелідвічі клацніть «Заплановане сканування Захисника Windows».
  4. У властивостях запланованого сканування, перейдіть на вкладку «Тригери» та виберіть «Новий».
  5. Визначає частоту з яким ви хочете провести іспит, та бажаний час початку.

Автоматичне сканування Microsoft Defender

Запланована оптимізація продуктивності для швидких іспитів

Щоб мінімізувати вплив, Defender може пропустити заплановане швидке сканування, якщо протягом останніх 7 днів вже було виконано «кваліфіковане» сканування.Ця оптимізація застосовується лише до запланованих швидких сканувань; вона не впливає на ручні швидкі сканування на вимогу.

Якщо внутрішні кваліфікаційні умови останнього експрес-іспиту не виконані, оптимізація не застосовується, і система запустить заплановане сканування. Хоча детальні критерії не перелічені в цьому уривку, метою є уникнення непотрібного повторення без шкоди для захисту.

Ключові моменти та рекомендації, які слід враховувати:

  • Захист у режимі реального часу + швидке скануванняПоєднання обох забезпечує надійне покриття, оскільки захист у режимі реального часу перевіряє кожен відкритий або закритий файл і кожну папку, до якої отримує доступ користувач, тоді як швидкий захист перевіряє місця зберігання даних.
  • Захист у хмаріХмарний захист і контрольований доступ спрощують оцінку файлів, до яких здійснюється доступ, за допомогою найновіших моделей хмарного інтелекту та машинного навчання.
  • Перехід до повного обстеження для певних виявленьЯкщо захист у режимі реального часу виявляє шкідливе програмне забезпечення та спочатку не може визначити розширення уражених файлів, Defender може ініціювати повне сканування як частину процесу відновлення.
  • Вплив та тривалістьПовні іспити споживають більше ресурсів і можуть тривати довго. Ретельно продумайте свій графік і надайте пріоритет швидкому іспиту як варіанту за замовчуванням, залишаючи повний іспит для конкретних випадків.

Налаштування за допомогою Intune, Configuration Manager та групової політики

  • Microsoft IntuneВи можете налаштувати параметри сканування пристроїв та обмежень з Intune, зокрема керувати Defender Antivirus у Windows 10 та Windows 11. Подання Endpoint Security дозволяє централізовано застосовувати політики антивіруса.
  • Диспетчер конфігурацій Microsoft (поточна гілка)Якщо ви використовуєте ConfigMgr, ви можете створювати та розгортати політики захисту від шкідливого програмного забезпечення за допомогою розділу «Налаштування сканування», визначаючи частоту та поведінку для керованих клієнтів.
  • Групова політика (GPO)У консолі керування груповими політиками відредагуйте потрібний об’єкт групової політики та перейдіть до розділу «Конфігурація комп’ютера» > «Адміністративні шаблони» > «Компоненти Windows» > «Антивірус Microsoft Defender». Виберіть відповідне розташування та налаштуйте політики за потреби. Застосуйте, натиснувши «OK», і повторіть для інших параметрів.

Основні параметри групової політики та пов'язані з ними параметри

  • Перевірка електронної пошти (Сканування > Увімкнути сканування електронної пошти). За замовчуванням: Вимкнено. PowerShell: -DisableEmailScanningДивіться обмеження щодо електронної пошти нижче.
  • сценарний іспитУвімкнено за замовчуванням. Дозволяє ввімкнути або зберегти сканування скриптів. Довідка: Defender/AllowScriptScanning.
  • Оцінка балів повторного аналізу (Сканування > Увімкнути сканування точок повторного аналізу). За замовчуванням: Вимкнено. Параметр «Прямий» недоступний; див. Посібник з точок повторного аналізу.
  • Підключені мережеві диски в повному іспиті (Сканування > Виконати повне сканування на підключених мережевих дисках). За замовчуванням: Вимкнено. PowerShell: -DisableScanningMappedNetworkDrivesForFullScan.
  • Архівні файли (Сканування > Сканування архівних файлів). За замовчуванням увімкнено. PowerShell: -DisableArchiveScanningСписок виключених розширень має пріоритет.
  • Мережеві файли (Сканування > Сканування мережевих файлів). За замовчуванням вимкнено. PowerShell: -DisableScanningNetworkFilesУ деяких шаблонах також відображається «Конфігурація сканування мережевих файлів» як увімкнена за замовчуванням; зверніть увагу на можливі відмінності між версіями ADMX.
  • Упаковані виконувані файли (Сканування > Сканування упакованих виконуваних файлів). Увімкнено за замовчуванням. Цей параметр видалено з деяких адміністративних шаблонів Windows 11 (21H2, 22H2 та 23H2). Еквівалентного параметра немає.
  • Знімні накопичувачі (Сканування > Сканувати знімні диски лише під час повного сканування). За замовчуванням: Вимкнено. PowerShell: -DisableRemovableDriveScanning.
  • Максимальна глибина архівних файлів (Сканування > Вказати максимальну глибину). За замовчуванням 0. Параметр недоступний.
  • Максимальне використання процесора (Сканування > Максимальний відсоток використання процесора під час сканування). За замовчуванням 50. PowerShell: -ScanAvgCPULoadFactorЦе орієнтовне середнє значення, а не жорстка межа; ручні тести його ігнорують.
  • Максимальний розмір файлу архіву (Сканування > Вказати максимальний розмір у КБ). За замовчуванням – необмежено (значення 0 означає відсутність обмежень). Параметр недоступний.
  • Низький пріоритет процесора для запланованих іспитівЗа замовчуванням вимкнено. Безпосередній параметр відсутній.
  • Тип дроселювання процесораВимкнено за замовчуванням. PowerShell: -ThrottleForScheduledScanOnly.
  • Включити виключені з експрес-тесту (Сканування > Виключені файли та каталоги сканувати під час швидкого сканування). Вимкнено за замовчуванням. Пов’язано з можливістю попереднього перегляду виключень.

Проводити іспити на вимогу та дистанційно

Портал Захисника Microsoft (security.microsoft.com)Ви можете запустити віддалене сканування на пристрої:

  1. Доступ до порталу та увійдіть.
  2. Відкрийте сторінку пристрою об'єктивний.
  3. Виберіть три крапки (…) та виберіть «Запустити антивірусне сканування».
  4. Виберіть тип іспиту між швидким або повним, додайте коментар і підтвердіть.

Перевірка стану в Центрі дійПерейдіть до розділу «Дії та надсилання» > «Центр дій» > вкладка «Історія». У розділі «Фільтри» виберіть тип дії «Розпочати антивірусне сканування», застосуйте його та перегляньте статус. Після завершення ви побачите статус «Завершено».

Microsoft IntuneУ вас є два поширені способи складання іспиту:

  • Безпека кінцевих точок > Антивірус: Зі списку дій виберіть Швидке сканування (рекомендовано) або Повне сканування у Windows 10 або Windows 11.
  • Пристрої > Усі пристроїПерейдіть до потрібного пристрою, виберіть «… Більше» та запустіть швидке сканування або повне сканування.

Програма безпеки WindowsНа самій кінцевій точці ви можете розпочати сканування з вбудованої програми «Безпека Windows», що ідеально підходить для вибіркових перевірок.

PowerShellЩоб розпочати іспит, використовуйте Start-MpScanЯкщо ви хочете, щоб швидке сканування включало винятки, налаштуйте параметр за допомогою Set-MpPreference -QuickScanIncludeExclusions 1.

Командний рядок (mpcmdrun.exe). США mpcmdrun.exe -scan -scantype 1 для швидкого сканування. Утиліта пропонує інші параметри для повних або певних шляхів, корисні в скриптах або безінтерфейсних середовищах.

WMIЧерез клас MSFT_MpScan і його метод Start Ви можете автоматизувати сканування за допомогою інструментів керування, які керують викликами WMIv2.

мдті

Що нового: Автоматичний аналіз детонації для файлів та URL-адрес

Розвідка загроз Microsoft Defender (MDTI) включає функцію автоматичного розшифровування файлів та URL-адрес, інтегрований в інтерфейс Defender XDR. Коли ви шукаєте файл або URL-адресу без результатів репутації, запускається асинхронний фоновий процес детонації, переважно в регіоні США.

Якщо спочатку немає даних про репутацію або детонацію, MDTI повторює запит для цього файлу або URL-адреси у фоновому режимі. Хоча немає фіксованої угоди про рівень обслуговування (SLA) щодо обсягу та доступності, операційна мета полягає в тому, щоб отримати результати приблизно протягом двох годин, залежно від навантаження системи.

Ця автоматизація розширює базу знань про глобальний ландшафт загроз, що надає командам безпеки глибший та своєчасніший аналіз невідомих файлів та URL-адрес для посилення захисту.

Стосується платформ та версій

Описані можливості призначені для кінцевих точок Windows, якими керує антивірус Microsoft Defender.Зокрема, оптимізація для пропуску запланованих швидких сканувань застосовується до Windows 10 Anniversary Update (1607) та пізніших версій, а також Windows Server 2016 (1607) та пізніших версій, за винятком інсталяцій Core Server.

Зміцніть свою безпеку, переглянувши документацію з найкращих практик іспитів та рекомендації щодо антивірусної програми Microsoft Defender, а також довідкові та навчальні ресурси з безпеки Microsoft.