Эта статья не ставит целью убедить вас отказаться от ваших текущих антивирусных решений. В этой заметке я хотел бы поделиться своими наблюдениями и способами повышения эффективности работы Защитника Windows.
Вам не нужно покупать дорогое антивирусное программное обеспечение. Если вы обычный пользователь, занимаетесь веб-серфингом, не хотите устанавливать дополнительное программное обеспечение (например, которое может замедлить работу вашего ПК), или у вас просто есть другие более выгодные вещи, которые можно купить, вы можете использовать антивирусное программное обеспечение, встроенное в операционную систему Windows. Идеального решения не существует, и неважно, устанавливаете ли вы бесплатный или платный антивирус, вы всегда можете быть заражены, если не используете свой собственный мозг. Иногда легче сломать человека, чем его компьютерную безопасность. Тогда даже самое дорогое решение не поможет.
К сожалению, никто не проверяет ничьи навыки перед покупкой первого компьютера или смартфона. Если вы хотите водить машину, вам нужно получить водительские права. Если вы хотите пойти на охоту, вам нужно получить разрешение. Если вы хотите подключиться к интернету и взаимодействовать с ним, вам не нужно ничего делать. Читая некоторые комментарии на случайных сайтах, я думаю, что вам даже не нужен мозг.
Каждый пользователь Интернета в наши дни должен быть осторожным, проверять ссылки, проверять источники и быть осведомленным. У любого человека, даже у специалиста по безопасности, может быть просто плохой день, поэтому где-то в фоновом режиме должна быть запущена программа для защиты вашего компьютера и данных.
Есть люди, которые хвастаются тем, что у них никогда не было антивирусной программы. Есть те, кто считает, что бесплатные решения - это фикция. Есть и те, кто пишет, что у вас обязательно должна быть антивирусная программа, и желательно самая дорогая, со всеми функциями. На мой взгляд, вы можете иметь все, что хотите. Но если у вас есть Windows и встроенная антивирусная программа, кстати не самая плохая, лучше пусть она будет включена и работает. И вам не придется плакать о том, что ваши данные были кем-то зашифрованы.
Windows Defender - это простое, но очень хорошее встроенное решение для защиты от вирусов и угроз в современной ОС Windows. Он имеет функции контроля учетных записей, приложений и браузеров, брандмауэра и сетевой защиты и помогает вам обеспечить безопасность вашего устройства. Интерфейс программы немного отличается от стандартного графического интерфейса антивирусного ПО, с которым вы знакомы. Здесь также не слишком много вариантов конфигурации, но все доступные переключатели хорошо описаны.
Защитник (Безопасность Windows) используется не только дома, многие крупные компании используют стандартную программу защиты сочетании с Sentinel (SIEM) и ASC в качестве основного форпоста. Мне самому довелось работать в одной из таких компаний, и это решение дало очень хорошие результаты. Ведь кто, если не сама Microsoft, может защитить свою систему лучше всех. Конечно, вместе с коллегами по работе мы часто смеялись над тем, что все глобальные компании, использующие Защитник Windows в производстве, являются бета-тестерами (глобальной тестовой средой) для продуктов Microsoft.
Сколько раз без объявления менялся интерфейс администрирования или эволюционировали названия продуктов: когда-то это был Microsoft Defender, затем Защитник Windows, затем Безопасность Windows…
Но сегодня мы сосредоточимся на Защитнике для обычного домашнего пользователя. В нем нет дополнительных функций, которые предлагают другие коммерческие решения, но и того, что он делает, вполне достаточно. Однако стоит включить некоторые дополнительные функции, которые недоступны из графического интерфейса.
Эффективность многих антивирусных программ проверяется на таких сайтах, как AV Comparatives или AV Test. Вы можете проверить, какой антивирус является "лучшим". Если вы уделите время анализу, то увидите, что все меняется от месяца к месяцу и от года к году. В прошлом Defender имел плохие оценки, сейчас он стал лучше, как и продукты других компаний.
Итак, как я уже сказал, интерфейс не самый лучший, а включение некоторых функций, которые улучшат работу Defender, требует некоторой толики терпения повозиться с системой. Это, конечно, отпугивает некоторых пользователей и отталкивает тех, кто хочет просто установить что-то в «один клик». Но даже платные решения утомляют пользователей всплывающими окнами с вопросами о том, что теперь, что дальше, и как бы вы хотели, чтобы это работало. Благодаря этому они изучают поведение пользователя, которое иногда представляет собой длительный процесс принятия решений и нажатия на кнопки.
Настройки локальной групповой политики
Настройка локальной групповой политики - это ключ к улучшению и укреплению Defender. Редактор локальной групповой политики доступен только в редакции pro/enterprise, но вы можете добавить его и в домашнюю версию Windows.
Если вы не хотите включать этот редактор, вы также можете изменить параметры, описанные ниже в главе PowerShell этой статьи. В любом случае, прочитайте эту главу, чтобы понять, как это работает, после чего вам будет проще изменять опции с помощью PowerShell.
Создайте файл gpedit-enable.bat и поместите внутрь код (он работает для Windows 10 и 11).
Привет! Только не bat-файл! Да, это правда, какой-то случайный парень предлагает неизвестный код!
Звучит как жуткий сценарий, полностью согласен. И это не обязательный шаг, а код был позаимствован отсюда для Windows 11 и отсюда для Windows 10. Проверьте ссылки для более подробной информации. Если вы доверяете ссылкам, которые я подаю :) В любом случае, большой плюс за бдительность.
В любом другом случае найдите в Google решение для включения редактора локальной групповой политики.
@echo off
nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
echo Requesting administrative privileges…
goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
exit /B
:gotAdmin
if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
pushd "%CD%"
CD /D "%~dp0"
pushd "%~dp0"
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3.mum >List.txt dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3.mum >>List.txt
for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
pause
Сохраните его. Запустите его. Перезагрузите компьютер, а затем запустите gpedit.msc. После того как редактор будет открыт, вы сможете продолжить выполнение следующих шагов. Еще раз:
Приведенный выше код - это причудливая версия проверки прав администратора и последующего включения редактора политик.
*Этот шаг для добавления редактора групповой политики в Windows Home. Если у вас PRO или Enterprise — создавать и выполнять .bat - файл не нужно.
Но и для Home-edition это не обязательное действие — все настройки вы можете сделать из PowerShell — прокрутите эту статью до главы PowerShell
Включить MAPS
Служба Microsoft Advanced Protection Service (MAPS), улучшает стандартную защиту в режиме реального времени за счет облачной защиты и технологий нового поколения.
Приведенные ниже шаги позволят вам подключиться к службе Microsoft Advanced Protection Service (MAPS), настроить функцию Блокировке при первом появлении, настроить переопределение локальных настроек для отчетности в Microsoft MAPS, отправить образцы файлов при необходимости дальнейшего анализа, выбрать уровень облачной защиты в Windows Defender и настроить расширенную облачную проверку.
В редакторе локальной групповой политики перейдите к: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа Windows Defender > Maps.
Откройте запись Присоединиться к Microsoft MAPS и измените ее на Включено. В опциях вы можете выбрать из выпадающего меню уровень MAPS. Базовый или Расширенный. (Вы можете прочитать об обоих в справке.) Я выбрал Расширенный.
Затем откройте пункт Настройка функции «Блокировка при первом появлении» и также выберите Включено. Сделайте то же самое для параметра «Настроить локальное переопределения для отправки отчетов в Microsoft MAPS». В разделе «Отправлять образцы файлов, если требуется дальнейший анализ», выберите опцию в соответствии с вашими предпочтениями. Я установил Отправить безопасные образцы.
Далее перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows -> Антивирусная программа Windows Defender > MpEngine. Отредактируйте запись Выберите уровень защиты в облаке, включите его и установите опцию Высокий уровень блокировки. Эта опция сделает антивирус Windows Defender более агрессивным при выявлении подозрительных файлов. Последняя запись для редактирования — Настройте расширенную проверку в облаке, включите ее и установите время 50 секунд. Обычное время проверки облака составляет 10 секунд. Чтобы включить функцию расширенной проверки облака, укажите увеличенное время в секундах, вплоть до дополнительных 50 секунд.
Перезагрузите компьютер.
Защита от программ-шантажистов
Эту функцию можно включить из графического интерфейса. Просто введите Безопасность Windows в меню Пуск, перейдите в раздел Защита от вирусов и угроз и в нижней части экрана выберите Защита от программ-шантажистов, нажмите на Управление защитой от вымогателей и выберите Включить на Контролируемый доступ к папкам.
PowerShell
Используйте PowerShell… да, для настройки некоторых параметров в Defender необходимо использовать PowerShell. Запустите PowerShell от имени администратора и введите
Get-MpPreference
чтобы проверить текущую конфигурацию Defender.
Обновление сигнатур
Установите значение SignatureUpdateInterval на каждые 1 час.
Set-MpPreference -SignatureUpdateInterval 1
Также стоит установить принудительное обновление новых сигнатур перед началом каждого сканирования.
Set-MpPreference -CheckForSignaturesBeforeRunningScan 1
Ознакомьтесь с другими параметрами в официальной документации и настройте их по своему усмотрению.
Включить MAPS
Если вы пропустили настройку MAPS с помощью редактора локальной групповой политики, вы можете увидеть те же опции в PowerShell.
MAPSReporting, 0 — отключено, 2 — включены угрозы и дополнительные данные будут отправляться в MS (Расширенный режим), 1 — только основные данные (Базовый режим). Установите эту опцию с помощью Set-MpPreference. То же самое касается всех остальных опций, описанных далее.
Set-MpPreference -MAPSReporting 2
SubmitSamplesConsent, 0 — Всегда запрашивать, 1- Отправлять безопасные образцы автоматически, 2 — Никогда не отправлять, 3 — Отправлять все образцы автоматически.
Set-MpPreference -SubmitSamplesConsent 1
CloudBlockLevel, описано в документации, в разделе выше я предложил вариант 5 — высокий уровень блокировки.
Set-MpPreference -CloudBlockLevel 5
CloudExtendedTimeout, установлено значение 50.
Set-MpPreference -CloudExtendedTimeout 50
Потенциально нежелательное программное обеспечение
Эту функцию можно включить из графического интерфейса, но поскольку вы уже являетесь профессиональным пользователем Defender, вы можете использовать для этого и PowerShell.
PUAProtection, определяет уровень обнаружения потенциально нежелательных приложений. Когда потенциально нежелательные программы загружаются или пытаются установить себя на ваш компьютер, вы получаете предупреждение. Значение 0 — выключено, 1 — включено
Set-MpPreference -PUAProtection 1
Графический интерфейс
Разумеется, остальные опции, которые вам следует просмотреть, доступны в графическом интерфейсе Windows Defender. Наиболее важными являются части с контролем приложений и браузеров, защита на основе репутации, изолированный просмотр (полезно, если вы используете Edge) и защита от эксплойтов.
Подведем итоги
Как видите, настроить Защитник Windows так, чтобы он был полезен, довольно просто, и даже вы, бабушка, можете это сделать. Лол. Скрестим пальцы 🤞, чтобы очередное обновление не сбросило все эти настройки на стандартные 😉 Я скрестил пальцы за Windows Defender и надеюсь, что в будущем он станет намного лучше и удобнее в использовании и с интеграцией в другие веб-браузеры.
