Detta är del 3 i vår serie om Defender for Endpoint, och i den här delen ska vi titta närmare på antiviruspolicyer och Intune-portalen.
Innan vi går in på själva inställningarna är det bra att reda ut hur och var policyerna hanteras, eftersom det kan skilja sig åt beroende på licens och konfiguration.
Det finns flera sätt att arbeta med policyer, och i den här artikeln går vi igenom de vanligaste alternativen och hur de används i praktiken.
- Direkt i Defender-portalen
- Via Intune-portalen, genom att koppla ihop Defender for Endpoint med Microsoft Intune
Delar i serien
Här är en översikt över de delar som ingår i serien. Jag uppdaterar länkarna löpande allt eftersom nya inlägg blir publicerade.
- Del 1 – Kom igång
- Del 2 – Advanced features
- Del 3 – Antivirus & Intune-portalen (den här artikeln)
- Del 4 – ASR-regler
- Del 5 – Onboarding av enheter, device groups och RBAC-modellen
- Del 6 – EDR, AIR, advanced hunting och incidenthantering
Konfiguration i Defender-portalen
Om du använder en Enterprise-version (Defender for Endpoint Plan 1 eller Plan 2) finns möjlighet att konfigurera alla policyer direkt i Defender-portalen, till exempel:
- Antivirus
- Brandvägg
- Attack Surface Reduction (ASR)
- Device Control
Dessutom går det att konfigurera policyer för både Windows, macOS och Linux.
Du hittar policyinställningarna under menyn ”Endpoint → Configuration management → Endpoint security policies”.
Använder du däremot en Business-version så ser menyerna lite annorlunda ut. I denna version hittar du policyinställningarna under ”Endpoint → Configuration management → Device configuration”.
Denna sida är väldigt begränsad jämfört med Enterprise-varianten. I Defender for Business kan du via Defender-portalen bara konfigurera:
- Antivirus
- Brandvägg
Och bara för Windows-enheter.
Men Defender for Business har faktiskt stöd för flera funktioner, till exempel Attack Surface Reduction (ASR). Likaså finns stöd för macOS och Linux. Skillnaden är att dessa policyer inte går att konfigurera i Defender-portalen utan måste hanteras via Microsoft Intune.
Man kan såklart nöja sig med att konfigurera antivirus- och brandväggspolicyer men det innebär att man går miste om flera viktiga säkerhetsfunktioner, framförallt Attack Surface Reduction, som är en central funktion i ett modernt skydd.
Därför rekommenderar jag starkt att man kopplar ihop Defender for Endpoint med Microsoft Intune.
Intune ger tillgång till fler typer av policyer och är dessutom ett väldigt kraftfullt verktyg för enhetshantering.
⚠️ Viktigt: Använder du en Enterprise-version kan samtliga policyer som beskrivs i den här guiden konfigureras direkt i Defender-portalen.
I mitt fall använder jag Defender for Business, därför kommer jag koppla ihop Defender-portalen med Microsoft Intune och visa konfigurationen via Intune-portalen.
Inställningarna och rekommendationerna är dock desamma, oavsett vilket alternativ du använder.
Koppla ihop Defender-portalen med Microsoft Intune
Steg 1: Aktivera Intune-kopplingen i Defender-portalen
- Logga in i Defender-portalen
- Scrolla ner i vänstermenyn till System
- Gå till Settings → Endpoints → Advanced features
- Scrolla ner på sidan och aktivera funktionen ”Microsoft Intune connection”
Steg 2: Aktivera integrationen i Intune-portalen
- Logga in i Intune-portalen
- Klicka på menyn Endpoint security
- Scrolla ner till sektion Setup och välj Microsoft Defender for Endpoint
- Verifiera att status är Available
Om status inte är Available har Defender for Endpoint-konfigurationen inte slutförts. Vänta några minuter och uppdatera sidan.
- Aktivera inställningen Allow Microsoft Defender for Endpoint to enforce Endpoint Security Configurations
Detta innebär att Defender for Endpoint kan läsa policyer från Intune och tillämpa dem på enheter som hanteras av MDE.
Steg 3: Slutför konfigurationen i Defender-portalen
- Gå tillbaka till Defender-portalen
- Navigera till Settings
- Scrolla ner till Configuration management och klicka på Enforcement scope
- Aktivera inställningen Use MDE to enforce security configuration settings from Intune
När du aktiverat denna funktion visas en lista över vilka operativsystem som ska kunna hanteras via Intune.
I mitt fall klickar jag i:
- Windows Client devices
- Linux devices
- macOS devices
Men det finns även möjlighet att välja:
- Windows Server devices
- Windows Server Domain Controller devices
När dessa inställningar är konfigurerade kan Defender for Endpoint och Microsoft Intune kommunicera med varandra. Detta innebär att enheter som onboardas i Defender-portalen även visas i Intune, samt att policyer som skapas i Intune kan tillämpas av Defender for Endpoint.
Antiviruspolicy – inställningar och rekommendationer
I detta avsnitt går vi igenom inställningarna i antiviruspolicyn. Jag har försökt beskriva varje funktion så tydligt och kortfattat som möjligt.
För att göra det enklare har jag lagt in en översiktstabell. Du kan klicka på namnen i tabellen för att hoppa direkt till respektive avsnitt.
⚠️ Obs! Jag vill än en gång poängtera att detta inte är en “How to” som passar alla, utan snarare en “How I do”. Jag tror att mina rekommendationer fungerar bra för många, men det finns såklart situationer där du kan behöva anpassa inställningarna.
Översikt över inställningar
Allow Archive Scanning
Tillåter skanning i arkivfiler, till exempel .ZIP eller .CAB-filer.
Rekommendation: 🟢 På
Allow Behavior Monitoring
Denna inställning innebär att Defender övervakar beteenden i realtid för att identifiera misstänkt aktivitet.
I stället för att enbart förlita sig på signaturer så analyserar Defender hur program, tjänster och filer beter sig. Detta gör det möjligt att upptäcka även nya och okända angrepp.
Rekommendation: 🟢 På
Allow Cloud Protection
Denna inställning gör det möjligt att använda Microsofts molntjänster för att snabbt identifiera och blockera nya och okända hot.
Detta ger ett modernare och mer effektivt skydd jämfört med att enbart använda lokala signaturer.
Rekommendation: 🟢 På
Allow Email Scanning
Tillåter att Defender skannar e-postmeddelanden och bilagor efter skadligt innehåll.
Rekommendation: 🟢 På
Allow Full Scan On Mapped Network Drives
Tillåter att schemalagda fullständiga skanningar även skannar nätverksenheter som är mappade på klienten.
Detta kan innebära hög belastning på nätverket och påverka prestandan negativt.
Rekommendation: 🔴 Av
Allow Full Scan Removable Drive Scanning
Tillåter att schemalagda fullständiga skanningar även skannar flyttbara medier, till exempel USB-minnen och externa hårddiskar.
Rekommendation: 🟢 På
[Deprecated] Allow Intrusion Prevention System
Inställningen är markerad som föråldrad och kan bli ändrad eller borttagen. Moderna funktioner som Network Protection och Attack Surface Reduction ersätter denna inställning.
Jag brukar sätta denna till Not configured för att följa Microsofts rekommendationer och undvika beroenden till funktioner som kan bli ändrade.
Rekommendation: 🟠 Inte konfigurerad
Allow scanning of all downloaded files and attachments
Denna inställning säkerställer att alla nedladdade filer och bilagor skannas innan de öppnas eller körs.
Rekommendation: 🟢 På
Allow Realtime Monitoring
Aktiverar realtidsskydd, vilket innebär att filer, processer och aktiviteter skannas kontinuerligt medan de används. Detta är en grundläggande säkerhetsfunktion som alltid bör vara aktiverad.
Rekommendation: 🟢 På
Allow Scanning Network Files
Tillåter att schemalagda och manuella skanningar även inkluderar filer som nås via nätverket.
Rekommendation: 🟢 På
Allow Script Scanning
Tillåter att Defender skannar skript, till exempel PowerShell- och VBScript-filer efter skadligt innehåll innan de körs.
Rekommendation: 🟢 På
Allow User UI Access
Tillåter att användaren får åtkomst till Defenders användargränssnitt och kan se skyddsstatus, historik och notifieringar.
Rekommendation: 🟢 På
Avg CPU Load Factor
Anger hur mycket processorkraft som Defender får använda vid skanningar.
Standardvärdet är 50% vilket kan påverka prestandan märkbart. På användarklienter sätter jag vanligtvis detta till 20–30%. Det blir bättre balans mellan skydd och prestanda.
Rekommendation: 🟢 25%
Archive Max Depth
Anger hur djupt Defender ska packa upp och skanna arkiv.
Rekommendation: 🟢 0 (obegränsat)
Archive Max Size
Anger maximal storlek på arkiv som Defender ska packa upp och skanna.
Stora arkiv kan påverka prestandan, men i praktiken har jag inte upplevt att detta innebär några problem.
Rekommendation: 🟢 0 (obegränsat)
Check For Signatures Before Running Scan
Anger om Defender ska söka efter nya signaturer innan en schemalagd eller manuell skanning startar.
Om man uppdaterar skyddssignaturer regelbundet kan denna inställning vara överflödig. I miljöer där uppdateringar sker mer sällan kan det däremot vara bra att ha den aktiverad.
Rekommendation: 🟠 Inte konfigurerad (beror på uppdateringsfrekvens och miljö)
Cloud Block Level
Anger hur aggressivt Defender ska blockera hot baserat på molnbaserad analys.
Ju högre nivå desto hårdare blockering av nya och okända hot, men kan även öka risken för falska positiva träffar.
I de flesta miljöer är High rätt balans mellan säkerhet och användbarhet.
Rekommendation: 🟢 High
Cloud Extended Timeout
Anger hur länge systemet väntar på svar från molntjänsten innan den tillåter eller blockerar ett misstänkt hot.
En längre timeout ger molntjänsten mer tid att fatta ett beslut, vilket förbättrar skyddet mot nya och okända hot.
Rekommendation: 🟢 50 sekunder
Days To Retain Cleaned Malware
Anger hur många dagar Defender sparar objekt i karantän.
Rekommendation: 🟢 30 dagar
Disable Catchup Full Scan
Anger om en missad schemalagd fullständig skanning automatiskt ska köras i efterhand. När inställningen är aktiverad körs ingen catch-up scan.
Rekommendation: 🟢 På
Disable Catchup Quick Scan
Anger om en missad schemalagd snabbskanning automatiskt ska köras i efterhand. När inställningen är aktiverad körs ingen catch-up scan.
Rekommendation: 🟢 På
Enable Low CPU Priority
Anger om Defender ska köra schemalagda skanningar med lägre CPU-prioritet för att minska påverkan för användaren.
Rekommendation: 🟢 På
Enable Network Protection
Aktiverar Network Protection vilket innebär att kända skadliga domäner och IP-adresser blir blockerade.
Rekommendation: 🟢 Blockera
Excluded Extensions / Paths / Processes
Används för att exkludera filer, mappar eller processer från skanning. Bör användas mycket restriktivt.
Rekommendation: ⚠️ Använd endast vid behov
PUA Protection
Anger om Microsoft Defender ska blockera potentiellt oönskade program (Potentially Unwanted Applications).
Jag rekommenderar att denna inställning är aktiverad. Potentiellt oönskade program kan innebära säkerhetsrisker. Om legitim programvara blir blockerad är det bättre att skapa ett undantag.
Rekommendation: 🟢 På
Real Time Scan Direction
Anger om realtidsskyddet ska skanna filer som kommer in till systemet, filer som lämnar systemet, eller både och.
Rekommendation: 🟢 Bi-directional
Scan Parameter
Anger vilken typ av skanning som ska köras vid schemalagda skanningar – snabbskanning eller fullständig skanning.
Det finns en separat inställning för att konfigurera dagliga snabbskanningar. Därför ser jag denna inställning som ett komplement och använder den för att schemalägga fullständiga skanningar.
Rekommendation: 🟢 Full scan
Schedule Quick Scan Time
Anger vilken tid den dagliga snabbskanningen ska köras.
Värde 0 motsvarar kl. 00:00, värde 60 motsvarar kl. 01:00 och så vidare.
Många guider rekommenderar att man kör denna skanning utanför arbetstid. Eftersom snabbskanning går fort och vanligtvis inte påverkar prestandan tycker jag att man ska köra den vid en tidpunkt då klienten sannolikt är på.
Rekommendation: 🟢 600 (kl. 10:00)
Schedule Scan Day
Anger vilken veckodag den schemalagda skanningen ska köras. Typ av skanning beror på ”Scan Parameter”.
Denna skanning är ett komplement till den dagliga snabbskanningen. Om det finns möjlighet att köra schemalagd fullständig skanning utan att påverka användarupplevelsen negativt är detta ett bra komplement.
Rekommendation: 🟠 Valfri veckodag (om prestanda tillåter)
Schedule Scan Time
Anger vilken tid den schemalagda skanningen ska köras.
Värde 0 motsvarar kl. 00:00, värde 60 motsvarar kl. 01:00 och så vidare.
Om man kör fullständig skanning rekommenderar en tidpunkt utanför arbetstid för att minimera påverkan på användarna.
Rekommendation: 🟢 120 (kl. 02:00)
Signature Update Fallback Order
Denna inställning låter dig konfigurera i vilken ordning Defender ska kontakta alternativa signaturkällor om den primära inte är tillgänglig.
Rekommendation: ⚠️ Använd endast vid behov
Signature Update File Shares Sources
Anger sökvägar till delade mappar som Defender kan använda som alternativa signaturkällor för att hämta uppdateringar.
Rekommendation: ⚠️ Använd endast vid behov
Signature Update Interval
Anger hur ofta Defender ska söka efter uppdaterade signaturer.
Standardvärde är 8 timmar, vilket i praktiken innebär en gång om dagen. När nya signaturer finns tillgängliga vill jag få ut dem så snabbt som möjligt.
Rekommendation: 🟢 4 timmar
Submit Samples Consent
Anger om Defender får skicka misstänkta filer till Microsoft för vidare analys.
Genom att tillåta automatisk insamling kan systemet analysera nya och okända hot snabbare. Denna inställning kan vara känslig ur integritetssynpunkt, därför rekommenderar jag ”Safe” som bara skickar nödvändig information och undviker känslig persondata.
Rekommendation: 🟢 Safe
Disable Local Admin Merge
Anger om lokala administratörer kan påverka centralt konfigurerade Defender-policyer.
Rekommendation: 🔴 Inaktivera
Allow On Access Protection
Anger om Defender ska skanna filer i realtid när de öppnas, körs eller ändras.
Detta är en grundläggande skyddsfunktion och bör vara på i alla miljöer.
Rekommendation: 🟢 På
Remediation action for Severe / Moderate / Low / High threats
Anger vilken åtgärd Defender vidtar när den identifierar ett hot. Jag rekommenderar att alltid placera hot i karantän, så att en säkerhetsanalytiker kan analysera hotet.
Rekommendation: 🟢 Karantän
Allow Network Protection Down Level
Anger om Network Protection ska vara aktivt även på äldre Windows-versioner.
Rekommendation: 🟢 På
Allow Datagram Processing On Win Server
Anger om Network Protection ska analysera UDP-trafik även på Windows Server.
Som standard är denna inställning inaktiv eftersom den kan påverka prestandan negativt. Jag tycker man ska testa funktionen och se hur den fungerar på respektive server.
Rekommendation: 🟡 På – efter test
Disable Dns Over Tcp / Http / Ssh / Tls Parsing
Dessa inställningar styr om Network Protection ska inaktivera analys av viss nätverkstrafik.
Jag rekommenderar att låta all protokollinspektion vara aktiv för att få maximalt skydd. Märker man att någon av funktionerna påverkar prestandan kan man stänga av den specifika analysen.
Rekommendation: 🟢 Av (aktivera protokollinspektion)
[Deprecated] Enable Dns Sinkhole
Inställningen är markerad som föråldrad och kan komma att ändras eller tas bort.
Jag brukar sätta denna till Not configured för att följa Microsofts rekommendationer och undvika beroenden till funktioner som kan bli ändrade.
Rekommendation: 🟠 Inte konfigurerad
Engine Updates Channel
Anger vilken kanal Defender ska använda för uppdateringar av antivirusmotorn.
Rekommendation: 🟠 Inte konfigurerad (använd standardkanal)
Metered Connection Updates
Anger om Defender ska hämta uppdateringar även när enheten använder en anslutning med begränsad datamängd.
Eftersom skyddssignaturer och uppdateringar är avgörande för säkerheten rekommenderar jag att man tillåter detta.
Rekommendation: 🟢 På
Platform Updates Channel
Anger vilken kanal Defender ska använda för uppdateringar av plattformskomponenter.
Rekommendation: 🟠 Inte konfigurerad (använd standardkanal)
Security Intelligence Updates Channel
Anger vilken kanal Defender ska använda för uppdateringar av signaturer och andra hotdefinitioner.
Rekommendation: 🟠 Inte konfigurerad (använd standardkanal)
Randomize Schedule Task Times
Anger om Defender ska slumpa starttider för schemalagda skanningar.
Denna inställning kan till exempel vara användbar i virtualiserade miljöer för att undvika att många virtuella gäster startar schemalagda jobb samtidigt.
Rekommendation: 🟠 Inte konfigurerad
Scheduler Randomization Time
Anger hur stort tidsintervall Defender kan använda för att slumpa starttider för schemalagda uppgifter (om randomisering är aktiverad).
Jag har inte haft behov av att justera denna inställning och har därför lämnat den okonfigurerad. Som standard innebär detta ett intervall på 4 timmar.
Rekommendation: 🟠 Inte konfigurerad
Disable Core Service ECS Integration
Core Service är en relativt ny komponent i Defender som används för att förbättra stabilitet och prestanda.
Denna inställning anger om Core Service får använda Experimentation and Configuration Service (ECS) för att snabbt hämta kritiska uppdateringar.
Rekommendation: 🟢 Av (aktivera ECS-integration)
Disable Core Service Telemetry
Anger om Core Service ska skicka diagnostik- och telemetridata till Microsoft.
Telemetri används för att förbättra funktionalitet, stabilitet och felsökning. Denna datadelning kan vara känslig ur integritetssynpunkt, beroende på organisationens krav och policyer.
Rekommendation: 🟠 Inte konfigurerad
Sammanfattning
Det här var del 3 i serien om Defender for Endpoint och en genomgång av de antiviruspolicyer som går att konfigurera. Förhoppningsvis ger artikeln en tydligare bild av hur man bygger ett bra grundskydd utan att i onödan påverka prestanda eller användarupplevelse.
Har du frågor eller arbetar du på ett annat sätt i din miljö? Dela gärna med dig i kommentarerna så hjälps vi åt att göra guiden ännu bättre 👍