как установить windows defender через powershell
Управление Windows Defender с помощью PowerShell
Windows Defender впервые появился как антивирусная утилита от MS еще в Windows XP, и начиная с Windows Vista он постоянно присутствует в операционных системах Windows в качестве встроенного средства защиты от зловредов. В Windows 8 Defender был объединен с другим антивирусным продуктом — Microsoft Security Essentials, так что на данный момент он является полноценным антивирусным решением.
Windows Defender достаточно производителен и не требователен к системным ресурсам, он может быть использован не только на домашних компьютерах, но и в сети небольших организаций. Антивирус можно обновлять как с сайтов Microsoft, так и с внутреннего WSUS сервера. Однако, основным плюсом Windows Defender является тот факт, что он уже предустановлен и активен в Windows, и практически не требует ручной донастройки.
Совет. На данный момент Windows Defender является частью системы только на пользовательских ОС, и не доступен в Windows Server. Однако в предрелизе Windows Server 2016, Windows Defender может быть установлен как отдельный компонент сервера командой:
В большинство случае Windows Defender хорошо работает и со стандартными настройками, но в случае необходимости их можно изменить. Большое количество настроек Defender можно изменить через PowerShell с помощью специального модуля Defender. Впервые он появился в PowerShell 4.0 и разработан специально для управления Windows Defender. Этот модуль содержит 11 командлетов.
Get-MpComputerStatus – позволяет вывести текущий статус (включенные опции, дату и версию антивирусных баз, время последнего сканирования и т.д.)
Вывести текущие настройки Defender может командлет Get-MpPreference, чтобы их изменить используется — Set-MpPreference.
Например, нам требуется включить сканирование внешних USB накопителей. Получим текущие настройки командой:
Get-MpPreference | fl disable*
Как вы видит сканирование USB накопителей отключено (DisableRemovableDriveScanning = True). Включим сканирование командой:
Также, чтобы изменить настройки антивируса можно использовать командлеты Add-MpPreference и Remove-MpPreference. Например, добавим несколько папок в список исключений антивируса (сканирование в них не будет выполняться):
Полный список исключений Windows Defender можно вывести так:
Get-MpPreference | fl excl*
Удалим конкретную папку из списка исключений:
Для обновления антивирусных сигнатур в базе используется команда Update-MpSignature. С помощью аргумента UpdateSource можно указать источник обновлений.
Возможны следующие источники обновлений:
Выполнить сканирование системы можно с помощью командлета Start-MpScan. Аргумент ScanType позволяет указать один из трех режимов сканирования.
Например, чтобы просканировать каталог “C:\Program Files”:
Если нужно отключить защиту Defender в реальном времени:
Полностью отключить Windows Defender на компьютере можно, добавив в реестр ключ с помощью команды PowerShell:
Для настройки и управления антивирусная программа в Microsoft Defender
Область применения:
Вы можете использовать PowerShell для выполнения различных функций в Защитник Windows. Как и командная строка или командная строка, PowerShell — это командная строка на основе задач и язык скриптов, разработанный специально для системного администрирования. Подробнее об этом можно узнать в центре PowerShell на MSDN.
Список cmdlets, их функций и доступных параметров см. в разделе Defender.
Cmdlets PowerShell наиболее полезны в среде Windows Server, которая не полагается на графический пользовательский интерфейс (GUI) для настройки программного обеспечения.
Команды PowerShell не следует использовать в качестве замены для полной инфраструктуры управления сетевой политикой, например Microsoft Endpoint Configuration Manager,консоли управления групповой политикой или шаблонов групповой политики антивирусная программа в Microsoft Defender ADMX.
Изменения, внесенные в PowerShell, будут влиять на локальные параметры конечной точки, где эти изменения развернуты или внесены. Это означает, что развертывание политики с помощью групповой политики, Microsoft Endpoint Configuration Manager или Microsoft Intune может переписать изменения, внесенные в PowerShell.
Можно настроить параметры, которые можно переопределять локально, с помощью переопределеемых локальных политик.
PowerShell обычно устанавливается в %SystemRoot%\system32\WindowsPowerShell папке.
Использование антивирусная программа в Microsoft Defender PowerShell
Возможно, потребуется открыть PowerShell в режиме администратора. Щелкните правой кнопкой мыши элемент в меню нажмите кнопку Выполнить в качестве администратора и нажмите кнопку Да по запросу разрешений.
Чтобы открыть онлайн-справку для любого из пользователей, введите следующее:
Управление Windows Defender с помощью PowerShell
Защитник Windows (Windows Defender) — программный продукт компании Microsoft, предназначенный для защиты от вредоносных программ. Впервые Defender появился как антивирусная утилита в Windows XP, а начиная с Vista он встроен в операционную систему и является ее неотъемлемой частью. В Windows 8 Defender объединен с другим антивирусным продуктом Microsoft Security Essentials, так что на данный момент он представляет собой полноценный антивирус.
Windows Defender достаточно производителен и нетребователен к ресурсам. Он умеет обновляться с внутреннего сервера обновлений WSUS, так что его вполне можно использовать не только на домашних компьютерах, но и в корпоративных сетях. Но основным достоинством Defender является простота использования, ведь он уже имеется в системе, включен по умолчанию и практически не требует настройки.
В большинстве случаев Defender неплохо работает с настройками по умолчанию, однако иногда их все же требуется изменить. Наибольшее количество настроек доступно из консоли PowerShell, где для этих целей есть специальный модуль Defender. Он появился в PowerShell 4.0 и предназначен для управления Windows Defender. В него входит 11 командлетов, которые мы сегодня и рассмотрим.
Get-MpComputerStatus выводит данные о состоянии антивируса — включенные опции, дату обновления и версии антивирусных баз, расписание и дату последней проверки и многое другое.
Для вывода настроек Defender можно использовать командлет Get-MpPreference, а для изменения — соответственно Set-MpPreference. Например, нам надо включить сканирование съемных дисков. Выведем текущие настройки сканирования командой:
Get-MpPreference | fl disable*
Параметр DisableRemovableDriveScanning имеет значение True, т.е. сканирование съемных дисков отключено. Включим его командой:
Также для добавления\удаления новых параметров можно использовать командлеты Add-MpPreference и Remove-MpPreference. Для примера добавим в исключения антивируса пару папок:
А затем удалим одну:
Запуск обновления производится командлетом Update-MpSignature. По умолчанию для обновления Defender использует дефолтные настройки компьютера, но с помощью параметра UpdateSource можно указать, откуда именно забирать обновления. Для него можно указать следующие значения:
InternalDefinitionUpdateServer — внутренний сервер обновлений (WSUS);
MicrosoftUpdateServer — сервер обновлений Microsoft;
MMPC — Microsoft Malware Protection Center;
FileShares — файловая шара.
Для примера запустим обновление и укажем в качестве источника Microsoft Malware Protection Center:
Примечание. Если вы хотите указать в качестве источника файловую шару, то надо предварительно скачать необходимые обновления в Microsoft Malware Protection Center и поместить их в сетевую папку, после чего прописать путь к папке в настройках антивируса. Сделать это можно командой:
Для запуска сканирования предназначен командлет Start-MpScan. Тип сканирования задается параметром ScanType, который может принимать одно из трех значений:
FullScan — полная проверка. Выполняется проверка всех файлов на компьютере, а также системного реестра и запущенных в текущий момент программ;
QuickScan — быстрая проверка. Производится анализ только тех областей, которые наиболее вероятно могут быть заражены вредоносными программами;
CustomScan — выборочная проверка. Предоставляется возможность выбрать область для сканирования.
Для примера запустим выборочную проверку системной папки Windows командой:
Стоит упомянуть, что все командлеты могут выполняться не только локально, но и удаленно. Для этого он имеют параметр CimSession. Для примера посмотрим дату последней проверки на удаленном компьютере wks81:
Use PowerShell cmdlets to configure and manage Microsoft Defender Antivirus
Applies to:
You can use PowerShell to perform various functions in Windows Defender. Similar to the command prompt or command line, PowerShell is a task-based command-line shell and scripting language designed especially for system administration. You can read more about it at the PowerShell hub on MSDN.
For a list of the cmdlets and their functions and available parameters, see the Defender cmdlets topic.
PowerShell cmdlets are most useful in Windows Server environments that don’t rely on a graphical user interface (GUI) to configure software.
PowerShell cmdlets should not be used as a replacement for a full network policy management infrastructure, such as Microsoft Endpoint Configuration Manager, Group Policy Management Console, or Microsoft Defender Antivirus Group Policy ADMX templates.
Changes made with PowerShell will affect local settings on the endpoint where the changes are deployed or made. This means that deployments of policy with Group Policy, Microsoft Endpoint Configuration Manager, or Microsoft Intune can overwrite changes made with PowerShell.
Use Microsoft Defender Antivirus PowerShell cmdlets
You may need to open PowerShell in administrator mode. Right-click the item in the Start menu, click Run as administrator and click Yes at the permissions prompt.
To open online help for any of the cmdlets type the following:
Антивирус Windows Defender в Windows Server 2019 и 2016
В Windows Server 2016 и 2019 по умолчанию установлен и включен “родной” бесплатный антивирус Microsoft — Windows Defender (начиная с Windows 10 2004 используется название Microsoft Defender). В этой статье мы рассмотрим особенности настройки и управления антивирусом Windows Defender в Windows Server 2019/2016.
Графический интерфейс Windows Defender
В версиях Windows Server 2016 и 2019 (в том числе в Core редакции) уже встроен движок антивируса Windows Defender (Защитник Windows). Вы можете проверить наличие установленного компонента Windows Defender Antivirus с помощью PowerShell:
Установить графический компонент антивируса Windows Defender можно с помощью PowerShell командлета Install-WindowsFeature:
Настройка Windows Defender производится через меню “Virus and threat protection”.
Удаление антивируса Microsoft Defender в Windows Server 2019 и 2016
В Windows 10 при установке любого стороннего антивируса (Kaspersky, McAfee, Symantec, и т.д.) встроенный антивирус Windows Defender автоматически отключается, однако в Windows Server этого не происходит. Отключать компонент встроенного антивируса нужно вручную (в большинстве случаев не рекомендуется использовать одновременно несколько разных антивирусов на одном компьютере/сервере).
Удалить компонент Windows Defender в Windows Server 2019/2016 можно из графической консоли Server Manager или такой PowerShell командой:
Не удаляйте Windows Defender, если на сервере отсутствует другой антивирус.
Управление Windows Defender с помощью PowerShell
Рассмотрим типовые команды PowerShell, которые можно использовать для управления антивирусом Windows Defender.
Проверить, запущена ли служба Windows Defender Antivirus Service можно с помощью команды PowerShell Get-Service:
Как вы видите, служба запушена (статус – Running ).
Текущие настройки и статус Defender можно вывести с помощью командлета:
Вывод комадлета содержит версию и дату обновления антивирусных баз (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), включенные компоненты антвируса, время последнего сканирования (QuickScanStartTime) и т.д.
Отключить защиту в реальном времени Windows Defender (RealTimeProtectionEnabled) можно с помощью команды:
После выполнения данной команды, антивирус не будет сканировать на лету все обрабатываемые системой файлы.
Более полный список командлетов PowerShell, которые можно использовать для управления антивирусом есть в статье Управление Windows Defender с помощью PowerShell.
Добавить исключения в антивирусе Windows Defender
В антивирусе Microsoft можно задать список исключений – это имена, расширения файлов, каталоги, которые нужно исключить из автоматической проверки антивирусом Windows Defender.
Особенность Защитника в Windows Server – он автоматически генерируемый список исключений антивируса, который применяется в зависимости от установленных ролей сервера. Например, при установке роли Hyper-V в исключения антивируса добавляются файлы виртуальных и дифференциальных дисков, vhds дисков (*.vhd, *.vhdx, *.avhd), снапшоты и другие файлы виртуальных машин, каталоги и процессы Hyper-V (Vmms.exe, Vmwp.exe)
Если нужно отключить автоматические исключения Microsoft Defender, выполните команду:
Чтобы вручную добавить определенные каталоги в список исключения антивируса, выполните команду:
Чтобы исключить антивирусную проверку определенных процессов, выполните команду:
Получаем статус Windows Defender с удаленных компьютеров через PowerShell
Вы можете удаленно опросить состояние Microsoft Defender на удаленных компьютерах с помощью PowerShell. Следующий простой скрипт при помощи командлета Get-ADComputer выберет все Windows Server хосты в домене и через WinRM (командлетом Invoke-Command) получит состояние антивируса, время последнего обновления баз и т.д.
Для получения информации о срабатываниях антивируса с удаленных компьютеров можно использовать такой PowerShell скрипт:
В отчете видно имя зараженного файла, выполненное действие, пользователь и процесс-владелец.
Обновление антивируса Windows Defender
Антивирус Windows Defender может автоматически обновляться из Интернета с серверов Windows Update. Если в вашей внутренней сети установлен сервер WSUS, антивирус может получать обновления с него. Убедитесь, что установка обновлений одобрена на стороне WSUS сервера (в консоли WSUS обновления антивирусных баз Windows Defender, называются Definition Updates), а клиенты нацелены на нужный сервер WSUS с помощью GPO.
В некоторых случаях, после получения кривого обновления, Защитник Windows может работать некорректно. В этом случае рекомендуется сбросить текущие базы и перекачать их заново:
Если на сервере нет прямого доступа в Интернет, вы можете настроить обновление Microsoft Defender из сетевой папки.
Скачайте обновления Windows Defender вручную (https://www.microsoft.com/en-us/wdsi/defenderupdates) и помесите в сетевую папку.
Запустите обновление базы сигнатур:
Управление настройками Microsoft Defender Antivirus с помощью GPO
В этом разделе доступно более 100 различных параметров для управления настройками Microsoft Defender.
Например, для отключения антивируса нужно включить параметр GPO Turn off Windows Defender Antivirus.
Централизованное управление Windows Defender доступно через Advanced Threat Protection доступно через портал “Azure Security Center” (ASC) при наличии подписки (около 15$ за сервер в месяц).