Главная

Saturday, 9 October 2021

Управление Windows Defender с помощью PowerShell.

Всем привет.

Сегодня под финал пройдемся по управлению Windows Defender с помощью PowerShell в описании Сергея Яремчука. Оригинал был напечатан в журнале "Системный администратор", № 2015/4.

Начиная с Windows 8 продукт Windows Defender (Защитник Windows) получил функционал Microsoft Security Essentials и из простейшего сканера шпионских программ теперь стал полнофункциональным антивирусным решением, способным обнаруживать широкий спектр потенциально вредоносного ПО.

Поставляется бесплатно, функционирует как служба и обеспечивает проверку до входа пользователя в систему, а поэтому он интересен не только для персонального применения, но и для организаций, которые по тем или иным причинам не могут внедрить другие антивирусные решения. Более того он позволяет обеспечить базовую защиту хоста до принятия решения о внедрении чего-то более корпоративного.

На данный момент Windows Defender входит в состав клиентских версий ОС и Windows Server 2012 R2 в варианте установки Server Core и включен по умолчанию. В недавно появившейся бета-версии Windows Server его можно установить как компонент (Install-WindowsFeature-NameWindows-Server-Antimalware). Проверить статус работы службы можно, введя sc query Windefend.

Кроме GUI, настройки Windows Defender устанавливаются с помощью групповых политик (Computer Configuration - Admin Templates - Windows Components - Windows Defender). Кроме этого, в PowerShell 4.0 появился модуль Defender, состоящий из 11 командлетов. Просмотреть их список можно, введя комманду:

PS> Get-Command -Module Defender

Командлеты Get-MpComputerStatus и Get-MpPreference выводят данные о состоянии антивируса – версии антивируса и баз, включенные параметры, расписание, дату проверки и так далее. Все командлеты могут выполняться как локально, так и удаленно.

PS> $session = NewCimSession -ComputerName comp1

PS> Get-MpComputerStatus -CimSession $session

В настройках по умолчанию отключены IPS, проверка съемных дисков, email и некоторые другие. Для установки параметров используется командлет Set-MpPreference. Например, чтобы включить проверку внешних носителей, установим DisableRemovableDriveScanning в false (по умолчанию true):

PS> Set-MpPreference -DisableRemovableDriveScanning $false

Два командлета Add-MpPreference и Remove-MpPreference позволяют добавлять и удалять параметры. Наиболее часто они используются, чтобы исключить каталоги, процессы и файлы с определенным расширением из проверки. Например, исключим сканирование каталога с  временными файлами:

PS> Add-MpPreference -ExclusionPath C:\Temp

Для обновления баз следует применять командлет Update-MpSignature, по умолчанию используются настройки компьютера, но с помощью дополнительных параметров можно указать другие источники (сервер WSUS, сервер обновлений Microsoft, MMPC или каталог). В случае применения для обновлений каталога следует скачать обновления с Microsoft Malware Protection Center (http://www.microsoft.com/security/portal/mmpc) и положить в папку, на которую указать с помощью SignatureDefinitionUpdateFileSharesSources:

PS> Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\server\update

PS> Update-MpSignature -UpdateSource FileShares

Запуск сканирования осуществляется командлетом Start-MpScan, по умолчанию производится т.н. быстрая проверка только критически важных файлов. Тип проверки можем изменить с помощью параметра ScanType - FullScan, QuickScan или СustomScan.

PS> Start-MpScan -ScanType FullScan

Два параметра – Get-MpThreat и Get-MpThreatDetection – позволяют просмотреть информацию по угрозам, обнаруженным на компьютере. Командлет Remove-MpThreat позволяет удалить активные угрозы:

PS> Get-MpThreat

PS> Remove-MpThreat

Список известных Windows Defender угроз выводит Get-MpThreatCatalog.

PS> Get-MpThreatCatalog | select SeverityID, ThreatName

Успехов.

2 comments:

  1. Set-MpPreference -DisableRealtimeMonitoring $True

    ReplyDelete
  2. Get-MpComputerStatus | Select AMProductVersion

    ReplyDelete

А что вы думаете по этому поводу?