Конфигуришите заказана скенирања у програму Microsoft Defender

  • Заказано брзо скенирање је препоручена опција и допуњено је заштитом у реалном времену и интелигенцијом у облаку.
  • Управљајте заказивањем, процесором и рандомизацијом помоћу GPO, Intune-а или Configuration Manager-а како бисте минимизирали утицај на кориснике.
  • Проширите или сузите опсег (е-пошта, мрежа, дискови, компресоване датотеке) у складу са вашим потребама и безбедносним политикама.
  • Аутоматизујте и реагујте помоћу PowerShell-а, WMI-ја и Defender портала за скенирање на захтев и брзу санацију.
Lorena Figueredo

КСНУМКС Минутос

Заказивање у програму Microsoft Defender

Закажите скенирање у програму Microsoft Defender То је један од оних задатака одржавања који вам штеди време и труд: ви дефинишете шта се анализира, када и којим интензитетом, а уређај ради остало без ометања. Уз праву конфигурацију, скенирање се уклапа у ваш распоред, користи време застоја и комбинује се са заштитом у реалном времену како би се ојачала безбедност без угрожавања перформанси.

У овом водичу ћете пронаћи све начине за конфигурисање заказаних и скенирања на захтев: Планер задатака, Групне смернице (GPO), Microsoft Intune, Configuration Manager, PowerShell, WMI, портал Microsoft Defender, па чак и услужни програм командне линије. Такође ћемо прегледати обим анализа (пошта, мрежне датотеке, мапирани дискови, компресоване датотеке), подразумеване вредности, препоруке и оптимизације које примењује сам мотор.

Врсте скенирања доступне у програму Microsoft Defender

Microsoft Defender Antivirus нуди три режима скенирања: брзо, комплетно и персонализовано, сваки са својом сврхом и трошковима у времену и ресурсима. Мудро одабир оног који ћете заказати је кључан за балансирање безбедности и перформанси на вашим уређајима.

Брзо скенирање (препоручено): испитује уобичајене локације за покретање и постојање злонамерног софтвера (познати кључеви регистра и фасцикле за покретање система), као и монтиране преносиве уређаје као што су УСБ дискови. У комбинацији са заштитом у реалном времену, пружа робусну заштиту од претњи при покретању система и злонамерног софтвера на нивоу језгра.

Корисна нова функција: Са ажурирањем платформе 4.18.2311.xx (децембар 2023), доступна је опција „Брзо скенирање укључује изузетке“, која вам омогућава да брзо скенирате датотеке и фасцикле изузете из заштите у реалном времену помоћу контекстуалних изузетака. Док је у прегледу, Његово управљање је доступно у Intune-у (каталог конфигурације).

Комплетна анализа: Почиње брзим скенирањем, а затим проверава све монтиране фиксне дискове и, ако су конфигурисани, преносиве или мрежне дискове. Ово може трајати сатима или данима, у зависности од количине и типа података. Користи дефиниције доступне при покретању; ако се ажурирања изврше током скенирања, биће потребно потпуно скенирање да би се покрили нови потписи. Због потрошње ресурса, периодично заказивање овог скенирања се генерално не препоручује.

Прилагођена анализа: Омогућава вам да изаберете одређене локације (на пример, УСБ диск или одређену фасциклу) и ради ограничено на тај избор. Идеалан је за проверу преносивих медија или одређених ризичних подручја без потпуног скенирања.

Како одабрати врсту анализе

За редовна, заказана скенирања, Брзо је преферирана опција: проверава процесе, меморију, профиле и критичне локације, а уз то пружа и заштиту у реалном времену. пружа веома уравнотежену покривеност.

Ако се на одређеном рачунару открију претње, почните и са брзим: У већини случајева, детектоваће и очистити идентификовани злонамерни софтвер без потребе за потпуним скенирањем.

Када желите да проверите преносиви медиј или одређену фасциклу, изаберите прилагођену опцију: смањује време фокусирајући се само на сумњиву руту.

Након инсталирања или поновне активације Мицрософт Дефендер Антивирус, покрените брзо (или потпуно ако више волите темељно): имајте на уму да ће потпуно трајати дуже и потрошити више ресурса.

Кључне тачке пре програмирања

Постоје две врсте заказаних скенирања: дневно (само брзо) и недељно (брзо или потпуно). Прилагодите учесталост свом окружењу, али резервишите потпуно скенирање за одређене сценарије.

Ажурирање пре заказаног времена: Подразумевано, Defender проверава ажурирања заштите 15 минута пре заказаног скенирања. Можете управљајте када преузимати и примењивати ажурирања ако желите да промените ово понашање.

Лаптопи и батерије: Ако током заказаног потпуног скенирања уређај остане без напајања и пређе на напајање из батерије, скенирање се зауставља (догађај 1002) и наставиће се у следеће заказано време.

Временска зона- Заказана скенирања су регулисана локалном временском зоном уређаја. У дисперзованим окружењима, планирајте имајући ову променљиву на уму.

Заштита у реалном времену + брзина: Иако злонамерне датотеке могу бити скривене ван домашаја скенера, праћење у реалном времену скенира датотеке приликом отварања/затварања и прегледања фасцикли, тако да ова комбинација одржава високу заштиту.

Заштита приступа облаку: осигурава да се приступљене датотеке проверавају у односу на најновије моделе Microsoft Cloud Intelligence и машинског учења.

Аутоматска корекција: Ако заштита у реалном времену открије злонамерни софтвер и екстензија погођених датотека не може да се утврди при покретању, Дефендер покреће потпуно скенирање током процеса санације.

Тимови са дугим периодима неповезаности: када је уређај дуже време био ван мреже, комплетан се може продужити по обиму акумулираних промена.

Укључи изузетке у брзацима: Можете омогућити Брзо скенирање да бисте прегледали изузећа из заштите у реалном времену из PowerShell-а, Intune-а или GPO-а ако вам је потребна већа покривеност током периодичних скенирања.

Закажите скенирање из Планера задатака (Windows)

Ако више волите прецизну контролу без ослањања на смернице, Windows Task Scheduler вам омогућава да дефинишете окидаче за Defender скенирања. Једноставан је, ефикасан и доступан на сваком Windows рачунару.

  1. Отворите планер задатака: У поље за претрагу на траци задатака откуцајте „Планер задатака“ и отворите апликацију.
  2. Идите до Дефендера: У левом окну проширите Библиотеку распореда задатака > Microsoft > Windows и изаберите фасциклу Windows Defender.
  3. Изаберите задатак: У централном окну двапут кликните на „Заказано скенирање програма Windows Defender“.
  4. Измените окидач: У оквиру „Заказано скенирање – својства“ (локални рачунар), отворите картицу „Окидачи“ и кликните на „Ново“.
  5. Дефинишите фреквенцију и почните: Изаберите фреквенцију, време и услове (на пример, само ако је уређај неактиван) и потврдите.

Предлог: Искористите подешавања приоритета или услове неактивности како скенирање не би ометало рад корисника, посебно у потпуним ситуацијама.

Конфигуришите скенирање помоћу групних смерница (GPO)

Мицрософт Дефендер

GPO-и су стандардни начин у управљаним Windows окружењима за централно конфигурисање параметара скенирања. Они вам омогућавају да подесите типове скенирања, прозоре насумичног распоређивања, коришћење процесора, распореде и понашање након ажурирања.

  1. Отворите конзолу за управљање групним политикама у вашем менаџерском тиму.
  2. Уредите GPO које желите да конфигуришете.
  3. Иди на: Конфигурација рачунара > Административни шаблони > Windows компоненте > Microsoft Defender Antivirus и, за заказивање, Microsoft Defender Antivirus > Скенирање.
  4. Конфигуришите свако подешавање према вашим потребама и кликните на ОК.
  5. Повежи и распореди GPO као што иначе радите.

Дневно (брзо): Можете навести интервал у сатима за покретање брзих трчања (0 = никад) и време дана у минутима после поноћи (подразумевано 120 = 2:00).

Недељно (пост или пуна): Изаберите тип скенирања, дан у недељи (или никад) и доба дана у минутима после поноћи. Корисно за брзо недељно појачање или потпуно скенирање заказано током периода одржавања.

Рандомизација задатакаДефендер може насумично да подеси времена покретања између 0 и 23 сата; подразумевано, задаци покрећу насумично у року од 4 сата од фиксног времена Планера. Такође можете подесити прозор насумичности између 1 и 23 сата; ако је онемогућен или није конфигурисан, насумичност је 0–4 сата.

Искоришћење процесора током скенирања: „Наведите максимални проценат искоришћења процесора током скенирања“ вам омогућава да подесите максимум између 5 и 100 (0 = без ограничења). Подразумевана вредност је 50. То није строга граница, већ водич; ручне анализе не поштују ово ограничење.

Када се уређај не користи: Помоћу опције „Покрени заказано скенирање само када је рачунар укључен, али се не користи“ можете спречити покретање скенирања док корисник ради. Ово је подразумевано омогућено.

Санација: Закажите потпуно скенирање да бисте завршили поправке одређеног дана и времена (никада подразумевано и 120 минута после поноћи ако је омогућено).

Након ажурирања заштите: „Омогући скенирање након ажурирања Безбедносних обавештајних података“ покреће тренутно скенирање процеса након преузимања нових потписа (подразумевано омогућено).

Конфигуришите аналитику и подешавања помоћу Microsoft Intune-а

Intune вам омогућава да управљате антивирусним политикама и покрећете даљинско скенирање у оперативним системима Windows 10 и 11. Можете користити политике Endpoint Security (антивирус) или Device Restriction да бисте подесили заказивање и обим.

Да бисте конфигурисали опције испита и заказивања: Погледајте „Опције ограничавања уређаја у Intune-у“ и „Подешавања ограничења антивирусних уређаја за Windows 10 у Intune-у“ за подешавања специфична за Defender која можете применити на групе уређаја.

Да бисте покренули скенирање из програма Endpoint Security: У Intune администраторском центру идите на Endpoint Security > Antivirus и на картици Windows 10/11 изаберите Брзо скенирање (препоручено) или Потпуно скенирање као радњу за изабране уређаје.

За један уређај: У Intune-у идите на Уређаји > Сви уређаји, отворите уређај и у одељку „… Више“ покрените Брзо скенирање или Потпуно скенирање.

Управни савет: Размислите о омогућавању опције „Брзо скенирање укључује изузећа“ из каталога конфигурације ако желите да заказана брза скенирања прегледају ставке које су обично искључене из заштите у реалном времену.

Конфигуришите опције помоћу Microsoft Configuration Manager-а

Користећи Configuration Manager (тренутна грана), креирајте и примените анти-малвер политике да бисте стандардизовали подешавања скенирања у свим колекцијама уређаја. У одељку подешавања скенирања можете подесити тип скенирања (брзо/потпуно), распореде, понашање ажурирања и коришћење процесора.

Добре праксе: примените диференциране профиле по улози или критичности (на пример, сервери у односу на десктоп рачунаре), резервишите комплетне профиле за временске оквире одржавања и потврђује утицај са постепеним увођењем пре него што постане широко распрострањено.

PowerShell, WMI и командна линија: грануларна контрола

PowerShell и WMI вам дају тренутну контролу над упитима и подешавањем преференција, као и покретањем скенирања на захтев. Они су неопходни за аутоматизацију, скриптовање и брз одговор.

Покрени анализу: користи Start-MpScan да бисте покренули брзи или потпуни преглед на основу параметара. Да бисте брзо укључили контекстуална изузећа, можете подесити Set-MpPreference -QuickScanIncludeExclusions 1.

Подешавање кључних подешавања (Set-MpPreference / MSFT_MpPreference): Доступна подешавања укључују:

  • Е-маил: -DisableEmailScanning Контролише скенирање датотека поште. Подразумевано: Онемогућено.
  • Компримоване датотеке: -DisableArchiveScanning да укључи/искључи .zip, .rar, итд. Подразумевано: Омогућено. Листа изузећа екстензија има приоритет.
  • Мрежне датотеке: -DisableScanningNetworkFiles одређује да ли се скенирају. Подразумевано: онемогућено.
  • Мапирани мрежни дискови (у целости): -DisableScanningMappedNetworkDrivesForFullScanПодразумевано: онемогућено.
  • Уклоњиви дискови: -DisableRemovableDriveScanning да скенира само у потпуности. Подразумевано: онемогућено.
  • Просечно оптерећење процесора: -ScanAvgCPULoadFactor (водич, не фиксно ограничење). Подразумевано: 50. Ручно скенирање не примењује ово ограничење.
  • Ограничење процесора за заказано: -ThrottleForScheduledScanOnly.

Додатна подешавања: Скенирање скрипти је подразумевано омогућено (може се управљати политиком); скенирање тачке поновног рашчлањивања је наведено као онемогућено без доступног подешавања у табели политика; скенирање пакетираних извршних датотека је наведено као омогућено, али је уклоњено из неколико новијих ADMX шаблона за Windows 11, тако да његова GPO контрола можда неће бити доступна.

ВМИ: користите метод Почетак класе MSFT_MpScan да бисте покренули скенирање из WMI скрипти. Прегледајте Windows Defender WMIv2 API за дозвољене параметре и статусе враћања.

Командна линија (mpcmdrun.exe): Можете започети испите са параметрима као што су mpcmdrun.exe -scan -scantype 1Погледајте помоћ за алатку за друге типове (нпр. пуне) и за дефинисање одређених путања.

Покрените даљинско скенирање са портала Microsoft Defender

За управљани уређај, портал Microsoft Defender вам омогућава да покренете брзо или потпуно скенирање без додиривања уређаја. Ово је корисно приликом реаговања на упозорења или за насумичне провере.

  1. Приступ https://security.microsoft.com e inicia sesión.
  2. Отворите страницу уређаја објективан.
  3. Изаберите елипсу (…) и изаберите Покрените антивирусно скенирање.
  4. Марка Брзи тест (препоручено) или Комплетан испит, додајте коментар и потврдите.

Да бисте проверили статус: у Акције и поднески задаци > Центар акција > Историја, филтрирајте по „Покрени антивирусно скенирање“ и проверите статус „Завршено“.

Обим скенирања: пошта, мрежа, дискови и датотеке

Поред заказивања, дефинишите шта треба скенирати како бисте уравнотежили ефикасност и трошкове: е-пошту, мрежне датотеке, мапиране и преносиве дискове, компресоване датотеке и још много тога.

Е-маил: Бранилац може да анализира DBX, MBX y MIME током скенирања на захтев и заказаних скенирања. Датотеке PST Датотеке које нису у Unicode формату (Outlook 2003 или старије верзије) се скенирају, али претње унутар PST датотеке не могу бити отклоњене. Ако се претња открије у имејлу, видећете наслов и име прилога да бисте идентификовали поруку коју желите ручно да очистите.

Мапирани мрежни дискови: На било ком оперативном систему, испитују се само они који су додељени на нивоу система (не они које је корисник мапирао у својој сесији са својим акредитивима).

Мрежне датотеке: Подразумевано је скенирање датотека на мрежним ресурсима онемогућено; омогућите га само ако додаје вредност вашем окружењу и прати његов утицај.

Компримоване датотеке (.zip, .rar, итд.): Скенирање је подразумевано омогућено. Имајте на уму да листа изузећа екстензија поништава ово подешавање. Такође можете ограничити дубину подфасцикли у архивским датотекама и подесити максималну величину (у KB) за скенирање; вредност 0 не примењује ограничење.

Тачке реанализе: Политика „Омогући скенирање тачака поновног рашчлањивања“ изгледа онемогућена без доступног параметра; прегледајте напомене о „Тачкама поновног рашчлањивања“ ако вам је потребно одређено понашање.

Уклоњиви дискови: Опција „скенирање само на пуним дисковима“ је подразумевано онемогућена; прилагодите ову поставку према вашој USB политици.

Оптимизација перформанси за заказана брза скенирања

Мицрософт Дефендер

Да би смањио оптерећење, Defender може прескочити одређене заказане брзаке ако је „квалификовани брзак“ кренуо у последњих седам дана. Ова оптимизација се односи само на заказане брзаке (не на оне који се крећу по потреби). не утиче на заштиту у реалном времену.

КомпатибилностДоступно од Windows 10 1607 (Anniversary Update) и новијих верзија, као и на Windows Server 2016/новијим верзијама. Не односи се на инсталације Server Core-а.

Специфични услови за „квалификовани брзи превоз“ и изузециМајкрософт документује додатне критеријуме и ситуације у којима се ова оптимизација не примењује; прегледајте их ако је потребно да осигурате извршење без обзира на недавне активности.

Вредности и локације политике: Практични резиме

За доследно управљање, ево неких подразумеваних вредности и њихових повезаних локација/својстава за Defender Antivirus:

  • Поштански испит (Скенирање > Омогући скенирање е-поште): Подразумевано онемогућено; PowerShell: -DisableEmailScanning.
  • Скриптни испит: : Подразумевано омогућено; може се управљати политиком (AllowScriptScanning).
  • Тачке реанализе: Подразумевано онемогућено; нема доступних параметара.
  • Мапирани мрежни дискови (потпуно): -DisableScanningMappedNetworkDrivesForFullScanПодразумевано онемогућено.
  • Архивирајте датотеке: -DisableArchiveScanning (изузеци екстензија имају предност). Подразумевано омогућено.
  • Мрежне датотеке: -DisableScanningNetworkFilesПодразумевано онемогућено.
  • Паковане извршне датотеке: : Подразумевано омогућено; нема параметра, уклоњено из неколико скорашњих ADMX шаблона за Windows 11.
  • Преносиви дискови (само комплетни): : Подразумевано онемогућено; -DisableRemovableDriveScanning.
  • Дубина у архивским датотекама: подразумевана вредност 0; нема параметра.
  • Коришћење процесора током анализеПодразумевано 50; -ScanAvgCPULoadFactor (водич, не чврсто ограничење; приручници га изостављају).
  • Максимална величина архивске датотеке: без ограничења подразумевано (0 = без ограничења); нема параметра.
  • Низак приоритет процесора у распореду: Подразумевано онемогућено; нема параметра.
  • Ограничење процесора само у заказаном режиму: -ThrottleForScheduledScanOnly.
  • Брзо искључено скенирање: Подразумевано онемогућено; доступно путем смерница и QuickScanIncludeExclusions.

Покретање локалних скенирања: апликација Windows безбедност

На појединачним рачунарима, апликација Windows безбедност вам омогућава да покренете брзу, потпуну или прилагођену апликацију за неколико секунди. То је најдиректнија опција за крајњег корисника и корисна за специфичне валидације.

Запамтите: Ручно скенирање може игнорисати ограничења процесора, па их закажите ван шпица ако постоје велике количине података.

Обим и платформе

Описане опције се примењују на Windows 10/11 и Windows Server уређаје које подржава Microsoft Defender Antivirus, са повременим варијацијама у зависности од верзије (на пример, ADMX шаблони или доступност оптимизације).

Више ресурса и дијагноза

Да бисте истражили проблеме са перформансама или скенирањем, погледајте водич за решавање проблема са перформансама и конфигурацијом програма Microsoft Defender Antivirus. Такође прегледајте PowerShell-ове специфичне функције и командлете како бисте потврдили тренутне поставке и резултате скенирања.

Када користите политике (GPO/Intune/ConfigMgr), увек их валидирајте на пилот групи пре него што их проширите на остатак окружења. и прати догађаје у логу Дефендера (на пример, 1002 када се возило на батерије заустави) како би прилагодио прозоре и услове. Са разумном комбинацијом заказивања, обима и аутоматизације, Дефендер се природно уклапа у дневне рутине ваших тимова, одржавајући заштиту ажурираном помоћу интелигенције у облаку и минимизирајући утицај кроз насумичност, ограничавање процесора и рад током периода неактивности.