Windows защитник за пръв път се появи като антивирусна помощна програма от MS още в Windows XP, а от Windows Vista постоянно присъства в операционните системи Windows като вграден анти-зловреден инструмент. В Windows 8 Defender беше обединен с друг антивирусен продукт - Основи за сигурност на Microsoft, така че в момента това е цялостно антивирусно решение.
Windows Defender е доста продуктивен и не е взискателен към системните ресурси, може да се използва не само на домашни компютри, но и в мрежата на малки организации. Антивирусът може да се актуализира както от сайтове на Microsoft, така и от вътрешния WSUS сървър. Основното предимство на Windows Defender е фактът, че той вече е предварително инсталиран и активен в Windows и практически не изисква ръчна настройка.
съвет. В момента Windows Defender е част от системата само на потребителска ОС и не е наличен в Windows Server. В предварителната версия на Windows Server 2016 обаче, Windows Defender може да бъде инсталиран като отделен сървърен компонент с командата:
Инсталиране-WindowsFeature-Name Windows-Server-Antimalware
В повечето случаи Windows Defender работи добре със стандартни настройки, но можете да ги промените, ако е необходимо. Голям брой настройки на Defender могат да бъдат променени чрез PowerShell с помощта на специален модул защитник. За първи път се появи в PowerShell 4.0 и е създаден специално за управление на Windows Defender. Този модул съдържа 11 cmdlets.
Пълен списък с командлети на модули може да се покаже с помощта на командата:
Get-Command -Module Defender
- Add-MpPreferenc
- Get-MpComputerStatus
- Get-MpPreference
- Get-MpThreat
- Get-MpThreatCatalog
- Get-MpThreatDetection
- Remove-MpPreference
- Remove-MpThreat
- Set-MpPreference
- Старт-MpScan
- Актуализация-MpSignature
Get-MpComputerStatus - ви позволява да показвате текущото състояние (включени опции, дата и версия на антивирусни бази данни, време на последното сканиране и т.н.)
Командлерът може да показва текущите настройки на Defender. Get-MpPreference, за да ги промените се използва - Set-MpPreference.
Например, трябва да активираме сканиране на външни USB устройства. Вземете текущите настройки с командата:
Get-MpPreference | f забрани *
Както можете да видите, сканирането на USB устройства е деактивирано (DisableRemovableDriveScanning = True). Включете сканирането с командата:
Set-MpPreference -DisableRemovableDriveScanning $ false
Можете също да използвате командлети, за да промените антивирусните настройки. Add-MpPreference и Remove-MpPreference. Например, добавете няколко папки в списъка за изключване на антивирус (сканирането няма да се извършва в тях):
Add-MpPreference -ExclusionPath C: \ Video, C: \ install
Пълен списък на изключенията на Windows Defender може да се направи, както следва:
Get-MpPreference | fl без *
Изтрийте конкретна папка от списъка за изключване:
Remove-MpPreference -ExclusionPath C: \ install
За да актуализирате антивирусни подписи в базата данни, използвайте командата Актуализация-MpSignature. Използване на аргумент Актуализиране на източника можете да посочите източника на актуализации.
Възможни са следните източници на актуализация:
- MicrosoftUpdateServer - MS сървър за актуализиране в Интернет
- MMPC - Център за защита на Microsoft от злонамерен софтуер
- FileShares - мрежова папка
- InternalDefinitionUpdateServer - вътрешен WSUS сървър
За да актуализирате от мрежова папка, първо трябва да изтеглите файлове с подписи на база данни от сайта https://www.microsoft.com/security/portal/definitions/adl.aspx и да ги поставите в мрежовата директория. За да актуализирате базите данни на Defender от мрежовата директория, трябва да зададете пътя му към UNC:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\ FileShare1 \ Updates
Изпълнете актуализацията:
Update-MpSignature -UpdateSource FileShares
Актуализация-MpSignature
Можете да сканирате системата с помощта на командлета Старт-MpScan. ScanType Argument указва един от три режима на сканиране.
- FullScan - пълно сканиране на всички файлове на компютъра, включително системния регистър и работещи програми
- QuickScan - бърз анализ на най-често срещаните места, които могат да бъдат заразени
- CustomScan - потребителят може да посочи устройствата и папките за сканиране.
Например, за сканиране на директорията „C: \ Program Files“:
Start-MpScan -ScanType CustomScan -ScanPath ”C: \ Program Files”
Всички командлети на модула Defender могат да се използват за управление на локални и отдалечени компютри. За да се свържете с отдалечен компютър, използвайте опцията CimSession. Например, за да получите времето на последното сканиране на отдалечен компютър с името msk-wks-1, изпълнете следната команда (WimRM на отдалечения компютър трябва да е активиран):
$ session = NewCimSession -ComputerName msk-wks-1
Get-MpComputerStatus -CimSession $ сесия | fl fullscan *
Ако трябва да деактивирате защитата на Defender в реално време:
Set-MpPreference -DisableRealtimeMonitoring $ true
Можете напълно да деактивирате Windows Defender на компютър, като добавите ключ към системния регистър с помощта на командата PowerShell:
New-ItemProperty -Path „HKLM: \ SOFTWARE \ Policies \ Microsoft \ Windows Defender“ -Име DisableAntiSpyware -Value 1 -PropertyType DWORD -Force
