Windows Defender po raz pierwszy pojawił się jako narzędzie antywirusowe od MS w Windows XP, a od Windows Vista jest stale obecny w systemach operacyjnych Windows jako wbudowane narzędzie anty-malware. W Windows 8 Defender został połączony z innym produktem antywirusowym - Microsoft Security Essentials, więc w tej chwili jest to kompletne rozwiązanie antywirusowe.
Windows Defender jest dość produktywny i nie wymaga zasobów systemowych; może być używany nie tylko na komputerach domowych, ale także w sieci małych organizacji. Antywirus można aktualizować zarówno z witryn Microsoft, jak iz wewnętrznego serwera WSUS. Jednak główną zaletą programu Windows Defender jest fakt, że jest on już wstępnie zainstalowany i aktywny w systemie Windows i praktycznie nie wymaga ręcznej regulacji.
Wskazówka. W tej chwili Windows Defender jest częścią systemu tylko w systemie operacyjnym użytkownika i nie jest dostępny w systemie Windows Server. Jednak w wersji wstępnej Windows Server 2016 Windows Defender można zainstalować jako oddzielny składnik serwera za pomocą polecenia:
Install-WindowsFeature-Name Windows-Server-Antimalware
W większości przypadków program Windows Defender działa dobrze ze standardowymi ustawieniami, ale w razie potrzeby można je zmienić. Wiele ustawień Defender można zmienić za pomocą PowerShell za pomocą specjalnego modułu Obrońca. Po raz pierwszy pojawił się w PowerShell 4.0 i został zaprojektowany specjalnie do zarządzania Windows Defender. Ten moduł zawiera 11 poleceń cmdlet.
Pełną listę poleceń cmdlet modułu można wyświetlić za pomocą polecenia:
Get-Command -Module Defender
- Add-mppreferenc
- Get-MpComputerStatus
- Uzyskaj preferencje
- Get-mppreat
- Get-MpThreatCatalog
- Get-MpThreatDetection
- Remove-MpPreference
- Usuń-MpThreat
- Ustaw preferencje
- Start-MPScan
- Update-MpSignature
Get-MpComputerStatus - pozwala wyświetlić aktualny stan (zawarte opcje, data i wersja antywirusowych baz danych, czas ostatniego skanowania itp.)
Polecenie cmdlet może wyświetlać bieżące ustawienia Defender. Uzyskaj preferencje, do ich zmiany służy - Ustaw preferencje.
Na przykład musimy włączyć skanowanie zewnętrznych dysków USB. Pobierz bieżące ustawienia za pomocą polecenia:
Get-MpPreference | wyłącz fl *
Jak widać, skanowanie napędów USB jest wyłączone (DisableRemovableDriveScanning = True). Włącz skanowanie za pomocą polecenia:
Set-MpPreference -DisableRemovableDriveScanning $ false
Możesz także użyć poleceń cmdlet, aby zmienić ustawienia antywirusa. Add-mppreference i Remove-MpPreference. Na przykład dodaj kilka folderów do listy wykluczeń antywirusowych (skanowanie w nich nie zostanie wykonane):
Add-MpPreference -ExclusionPath C: \ Video, C: \ install
Pełną listę wyjątków programu Windows Defender można wywnioskować w następujący sposób:
Get-MpPreference | fl bez *
Usuń określony folder z listy wykluczeń:
Remove-MpPreference -ExclusionPath C: \ install
Aby zaktualizować sygnatury antywirusowe w bazie danych, użyj polecenia Update-MpSignature. Za pomocą argumentu Zaktualizuj źródło możesz określić źródło aktualizacji.
Możliwe są następujące źródła aktualizacji:
- MicrosoftUpdateServer - Serwer aktualizacji MS w Internecie
- MMPC - Centrum ochrony przed złośliwym oprogramowaniem firmy Microsoft
- Udostępnianie plików - folder sieciowy
- InternalDefinitionUpdateServer - wewnętrzny serwer WSUS
Aby dokonać aktualizacji z folderu sieciowego, należy najpierw pobrać pliki z sygnaturami bazy danych ze strony https://www.microsoft.com/security/portal/definitions/adl.aspx i umieścić je w katalogu sieciowym. Aby zaktualizować bazy danych Defender z katalogu sieciowego, musisz ustawić ścieżkę UNC:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\ FileShare1 \ Aktualizacje
Uruchom aktualizację:
Update-MpSignature -UpdateSource FileShares
Update-MpSignature
Możesz przeskanować system za pomocą polecenia cmdlet Start-MPScan. Argument ScanType Określa jeden z trzech trybów skanowania.
- Fullscan - pełne skanowanie wszystkich plików na komputerze, w tym rejestru i uruchomionych programów
- Quickscan - szybka analiza najczęstszych miejsc, które mogą zostać zainfekowane
- Customscan - użytkownik może określić dyski i foldery do skanowania.
Na przykład, aby przeskanować katalog „C: \ Program Files”:
Start-MpScan -ScanType CustomScan -ScanPath „C: \ Program Files”
Wszystkie polecenia cmdlet modułu Defender mogą być używane do sterowania komputerami lokalnymi i zdalnymi. Aby połączyć się z komputerem zdalnym, użyj opcji CimSession. Na przykład, aby uzyskać czas ostatniego skanowania na komputerze zdalnym o nazwie msk-wks-1, uruchom następujące polecenie (WimRM na komputerze zdalnym musi być włączony):
$ session = NewCimSession -ComputerName msk-wks-1
Get-MpComputerStatus -CimSession $ session | fl fullscan *
Jeśli chcesz wyłączyć ochronę Defender w czasie rzeczywistym:
Set-MpPreference -DisableRealtimeMonitoring $ true
Możesz całkowicie wyłączyć Windows Defender na komputerze, dodając klucz do rejestru za pomocą polecenia PowerShell:
New-ItemProperty -Path „HKLM: \ SOFTWARE \ Policies \ Microsoft \ Windows Defender” -Name DisableAntiSpyware -Wartość 1 -PropertyType DWORD -Force
