В Windows Server 2016 и 2019 по умолчанию установлен и включен “родной” бесплатный антивирус Microsoft — Windows Defender (начиная с Windows 10 2004 используется название Microsoft Defender). В этой статье мы рассмотрим особенности настройки и управления антивирусом Windows Defender в Windows Server 2019/2016.
Содержание:
- Графический интерфейс Windows Defender
- Удаление антивируса Microsoft Defender в Windows Server 2019 и 2016
- Управление Windows Defender с помощью PowerShell
- Добавить исключения в антивирусе Windows Defender
- Получаем статус Windows Defender с удаленных компьютеров через PowerShell
- Обновление антивируса Windows Defender
- Управление настройками Microsoft Defender Antivirus с помощью GPO
Графический интерфейс Windows Defender
В версиях Windows Server 2016 и 2019 (в том числе в Core редакции) уже встроен движок антивируса Windows Defender (Защитник Windows). Вы можете проверить наличие установленного компонента Windows Defender Antivirus с помощью PowerShell:
Get-WindowsFeature | Where-Object {$_. name -like "*defender*"} | ft Name,DisplayName,Installstate
Однако в Windows Server 2016 у Windows Defender по-умолчанию нет графического интерфейса управления. Вы можете установить графическую оболочку Windows Defender в Windows Server 2016 через консоль Server Manager (Add Roles and Features -> Features -> Windows Defender Features -> компонент GUI for Windows Defender).
Установить графический компонент антивируса Windows Defender можно с помощью PowerShell командлета Install-WindowsFeature:
Install-WindowsFeature -Name Windows-Defender-GUI
Для удаления графического консоли Defender используется командлет:
Uninstall-WindowsFeature -Name Windows-Defender-GUI
В Windows Server 2019 графический интерфейс Defender основан на APPX приложении и доступен через меню Windows Security (панель Settings -> Update and Security).
Настройка Windows Defender производится через меню “Virus and threat protection”.
Если вы не можете открыть меню настроек Defender, а при запуске апплета Windows Security у вас появляется ошибка “You’ll need a new app to open this windowsdefender”, нужно перерегистрировать APPX приложение с помощью файла манифеста такой командой PowerShell:
Add-AppxPackage -Register -DisableDevelopmentMode "C:WindowsSystemAppsMicrosoft.Windows.SecHealthUI_cw5n1h2txyewyAppXManifest.xml"
Если APPX приложение полностью удалено, можно его восстановить вручную по аналогии с восстановлением приложения Micorosft Store.
Удаление антивируса Microsoft Defender в Windows Server 2019 и 2016
В Windows 10 при установке любого стороннего антивируса (Kaspersky, McAfee, Symantec, и т.д.) встроенный антивирус Windows Defender автоматически отключается, однако в Windows Server этого не происходит. Отключать компонент встроенного антивируса нужно вручную (в большинстве случаев не рекомендуется использовать одновременно несколько разных антивирусов на одном компьютере/сервере).
Удалить компонент Windows Defender в Windows Server 2019/2016 можно из графической консоли Server Manager или такой PowerShell командой:
Uninstall-WindowsFeature -Name Windows-Defender
Не удаляйте Windows Defender, если на сервере отсутствует другой антивирус.
Установить службы Windows Defender можно командой:
Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI
Управление Windows Defender с помощью PowerShell
Рассмотрим типовые команды PowerShell, которые можно использовать для управления антивирусом Windows Defender.
Проверить, запущена ли служба Windows Defender Antivirus Service можно с помощью команды PowerShell Get-Service:
Get-Service WinDefend
Как вы видите, служба запушена (статус –
Running
).
Текущие настройки и статус Defender можно вывести с помощью командлета:
Get-MpComputerStatus
Вывод комадлета содержит версию и дату обновления антивирусных баз (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), включенные компоненты антвируса, время последнего сканирования (QuickScanStartTime) и т.д.
Отключить защиту в реальном времени Windows Defender (RealTimeProtectionEnabled) можно с помощью команды:
Set-MpPreference -DisableRealtimeMonitoring $true
После выполнения данной команды, антивирус не будет сканировать на лету все обрабатываемые системой файлы.
Включить защиту в реальном времени:
Set-MpPreference -DisableRealtimeMonitoring $false
Более полный список командлетов PowerShell, которые можно использовать для управления антивирусом есть в статье Управление Windows Defender с помощью PowerShell.
Добавить исключения в антивирусе Windows Defender
В антивирусе Microsoft можно задать список исключений – это имена, расширения файлов, каталоги, которые нужно исключить из автоматической проверки антивирусом Windows Defender.
Особенность Защитника в Windows Server – он автоматически генерируемый список исключений антивируса, который применяется в зависимости от установленных ролей сервера. Например, при установке роли Hyper-V в исключения антивируса добавляются файлы виртуальных и дифференциальных дисков, vhds дисков (*.vhd, *.vhdx, *.avhd), снапшоты и другие файлы виртуальных машин, каталоги и процессы Hyper-V (Vmms.exe, Vmwp.exe)
Если нужно отключить автоматические исключения Microsoft Defender, выполните команду:
Set-MpPreference -DisableAutoExclusions $true
Чтобы вручную добавить определенные каталоги в список исключения антивируса, выполните команду:
Set-MpPreference -ExclusionPath "C:Test", "C:VM", "C:Nano"
Чтобы исключить антивирусную проверку определенных процессов, выполните команду:
Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"
Получаем статус Windows Defender с удаленных компьютеров через PowerShell
Вы можете удаленно опросить состояние Microsoft Defender на удаленных компьютерах с помощью PowerShell. Следующий простой скрипт при помощи командлета Get-ADComputer выберет все Windows Server хосты в домене и через WinRM (командлетом Invoke-Command) получит состояние антивируса, время последнего обновления баз и т.д.
$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderinfo= Invoke-Command $server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled,RealTimeProtectionEnabled,AntivirusSignatureLastUpdated,QuickScanAge,FullScanAge}
If ($defenderinfo) {
$objReport = [PSCustomObject]@{
User = $defenderinfo.PSComputername
Antivirusenabled = $defenderinfo.Antivirusenabled
RealTimeProtectionEnabled = $defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated = $defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge = $defenderinfo.QuickScanAge
FullScanAge = $defenderinfo.FullScanAge
}
$Report += $objReport
}
}
$Report|ft
Для получения информации о срабатываниях антивируса с удаленных компьютеров можно использовать такой PowerShell скрипт:
$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderalerts= Invoke-Command $server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser,ProcessName,InitialDetectionTime ,CleaningActionID,Resources }
If ($defenderalerts) {
foreach ($defenderalert in $defenderalerts) {
$objReport = [PSCustomObject]@{
Computer = $defenderalert.PSComputername
DomainUser = $defenderalert.DomainUser
ProcessName = $defenderalert.ProcessName
InitialDetectionTime = $defenderalert.InitialDetectionTime
CleaningActionID = $defenderalert.CleaningActionID
Resources = $defenderalert.Resources
}
$Report += $objReport
}
}
}
$Report|ft
В отчете видно имя зараженного файла, выполненное действие, пользователь и процесс-владелец.
Обновление антивируса Windows Defender
Антивирус Windows Defender может автоматически обновляться из Интернета с серверов Windows Update. Если в вашей внутренней сети установлен сервер WSUS, антивирус может получать обновления с него. Убедитесь, что установка обновлений одобрена на стороне WSUS сервера (в консоли WSUS обновления антивирусных баз Windows Defender, называются Definition Updates), а клиенты нацелены на нужный сервер WSUS с помощью GPO.
В некоторых случаях, после получения кривого обновления, Защитник Windows может работать некорректно. В этом случае рекомендуется сбросить текущие базы и перекачать их заново:
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" –SignatureUpdate
Если на сервере нет прямого доступа в Интернет, вы можете настроить обновление Microsoft Defender из сетевой папки.
Скачайте обновления Windows Defender вручную (https://www.microsoft.com/en-us/wdsi/defenderupdates) и помесите в сетевую папку.
Укажите путь к сетевому каталогу с обновлениями в настройках Defender:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \fs01UpdatesDefender
Запустите обновление базы сигнатур:
Update-MpSignature -UpdateSource FileShares
Управление настройками Microsoft Defender Antivirus с помощью GPO
Вы можете управлять основными параметрами Microsoft Defender на компьютерах и серверах домена централизованно с помощью GPO. Для этого используется отдельный раздел групповых политик Computer Configurations -> Administrative Template -> Windows Component -> Windows Defender Antivirus.
В этом разделе доступно более 100 различных параметров для управления настройками Microsoft Defender.
Например, для отключения антивируса Microsoft Defender нужно включить параметр GPO Turn off Windows Defender Antivirus.
Более подробно о доступных параметрах групповых политик Defender можно посмотреть здесь https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/use-group-policy-microsoft-defender-antivirus
Централизованное управление Windows Defender доступно через Advanced Threat Protection доступно через портал “Azure Security Center” (ASC) при наличии подписки (около 15$ за сервер в месяц).
В этом руководстве показано, как удалить или отключить антивирусную защиту Защитника Windows в Windows Server 2016. Как вы, возможно, знаете, в Server 2016 встроена защита от вирусов и вредоносных программ через приложение Защитника Windows.
В Server 2016, если вы хотите использовать другую другую антивирусную программу для защиты вашего Сервера, Защитник Windows не отключит себя (как это происходит в Windows 10), чтобы максимизировать защиту в Server 2016. Итак, если вы хотите удалить или отключить Защитник Antivirus в Server 2016, вы должны сделать это вручную.
Как отключить или удалить антивирус Защитника Windows в Server 2016.
Часть 1. Как отключить Защитник Windows в реальном времени в Windows Server 2016.
Часть 2. Как удалить Защитник Windows в Server 2016.
Часть 1. Как отключить защиту в реальном времени в Защитнике Windows в Server 2016.
Чтобы временно отключить Защиту Windows в реальном времени в Server 2016 через графический интерфейс, перейдите на настройки -> Обновить безопасность -> Защитник Windows и установить Защита в режиме реального времени в OFF. *
Чтобы навсегда отключить Защитника Windows в Windows Server 2016:
1. открыто PowerShell как администратор.
2. Введите следующую команду:
- Set-MpPreference -DisableRealtimeMonitoring $ true
Примечание. Чтобы снова включить защиту в режиме реального времени, введите в Windows PowerShell (Admin) следующую команду, а затем перезапуск сервер:
- Set-MpPreference -DisableRealtimeMonitoring $ false
Часть 2. Как удалить Защитник Windows в Server 2016.
Чтобы полностью удалить Защитник Windows из Windows Server 2016, вы можете использовать один из следующих способов:
- Способ 1. Удалите Защитник Windows с помощью PowerShell.
- Способ 2. Удалите Защитника Windows в Server 2016 с помощью командной строки DISM (DISM).
- Способ 3. Удалите Защитника Windows с помощью функции «Удалить роли» Особенности мастера.
Способ 1. Удалите Защитник Windows с помощью PowerShell.
Чтобы удалить Защитника Windows с помощью PowerShell:
1. открыто PowerShell как администратор.
2. Введите следующую команду и нажмите Введите следующую команду и нажмите Войти:
- Удалить-WindowsFeature -Имя Windows-Защитник
3. Перезагрузите сервер. *
* Примечание. Чтобы переустановить функцию Защитника Windows, введите в PowerShell следующую команду:
- Установить-WindowsFeature -Имя Windows-Защитник
Способ 2. Удалите Защитника Windows в Server 2016 с помощью DISM в командной строке.
Чтобы удалить Защитника с помощью DISM: *
* Совет: Не используйте этот способ (DISM), чтобы удалить функцию Защитника Windows, потому что команда удаляет также установочный пакет Защитника Windows и делает невозможным переустановку Защитника Windows (по вашему желанию) в будущем.
1. открыто Командная строка как администратор.
2. Введите следующую команду и нажмите Войти:
- Dism / online / Disable-Feature / FeatureName: Защитник Windows / Удалить / NoRestart / тихий
3. Перезагрузите сервер.
Способ 3. Удалите Защитника Windows с помощью функции «Удалить роли» Особенности мастера.
Чтобы удалить Защитник Windows в Windows Server 2016.
1. открыто Диспетчер серверов.
2. От управлять меню, нажмите Удалить Роли и особенности.
3. Нажмите следующий на первых трех (3) экранах.
4. В особенности опции, снимите флажок Функции Защитника Windows и нажмите следующий.
5. щелчок удалять удалить Защитника Windows.
6. Перезагрузите ваш сервер.
* Примечание. Чтобы переустановить Антивирус Защитника Windows на Server 2016, следуйте приведенным ниже инструкциям.
1. открыто Диспетчер серверов и нажмите Добавьте роли и особенности.
2. щелчок следующий на первом для (4) экрана мастера.
3. На экране Особенности, проверьте Функции Защитника Windows, а также флажки «Защитник Windows» и «Графический интерфейс для Защитника Windows» и нажмите следующий.
4. На экране подтверждения нажмите Установить.
5. После завершения установки нажмите близко а также перезапуск ваш сервер.
Это все, ребята! Это сработало для вас?
Пожалуйста, оставьте комментарий в разделе комментариев ниже или даже лучше: лайк и поделиться этим постом в социальных сетях, чтобы помочь распространить информацию об этом решении.
В Windows Server 2016 и 2019 по умолчанию установлен и включен “родной” бесплатный антивирус Microsoft — Windows Defender (начиная с Windows 10 2004 используется название Microsoft Defender). В этой статье мы рассмотрим особенности настройки и управления антивирусом Windows Defender в Windows Server 2019/2016.
Содержание:
- Графический интерфейс Windows Defender
- Удаление антивируса Microsoft Defender в Windows Server 2019 и 2016
- Управление Windows Defender с помощью PowerShell
- Добавить исключения в антивирусе Windows Defender
- Получаем статус Windows Defender с удаленных компьютеров через PowerShell
- Обновление антивируса Windows Defender
- Управление настройками Microsoft Defender Antivirus с помощью GPO
Графический интерфейс Windows Defender
В версиях Windows Server 2016 и 2019 (в том числе в Core редакции) уже встроен движок антивируса Windows Defender (Защитник Windows). Вы можете проверить наличие установленного компонента Windows Defender Antivirus с помощью PowerShell:
Get-WindowsFeature | Where-Object {$_. name -like "*defender*"} | ft Name,DisplayName,Installstate
Однако в Windows Server 2016 у Windows Defender по-умолчанию нет графического интерфейса управления. Вы можете установить графическую оболочку Windows Defender в Windows Server 2016 через консоль Server Manager (Add Roles and Features -> Features -> Windows Defender Features -> компонент GUI for Windows Defender).
Установить графический компонент антивируса Windows Defender можно с помощью PowerShell командлета Install-WindowsFeature:
Install-WindowsFeature -Name Windows-Defender-GUI
Для удаления графического консоли Defender используется командлет:
Uninstall-WindowsFeature -Name Windows-Defender-GUI
В Windows Server 2019 графический интерфейс Defender основан на APPX приложении и доступен через меню Windows Security (панель Settings -> Update and Security).
Настройка Windows Defender производится через меню “Virus and threat protection”.
Если вы не можете открыть меню настроек Defender, а при запуске апплета Windows Security у вас появляется ошибка “You’ll need a new app to open this windowsdefender”, нужно перерегистрировать APPX приложение с помощью файла манифеста такой командой PowerShell:
Add-AppxPackage -Register -DisableDevelopmentMode "C:WindowsSystemAppsMicrosoft.Windows.SecHealthUI_cw5n1h2txyewyAppXManifest.xml"
Если APPX приложение полностью удалено, можно его восстановить вручную по аналогии с восстановлением приложения Micorosft Store.
Удаление антивируса Microsoft Defender в Windows Server 2019 и 2016
В Windows 10 при установке любого стороннего антивируса (Kaspersky, McAfee, Symantec, и т.д.) встроенный антивирус Windows Defender автоматически отключается, однако в Windows Server этого не происходит. Отключать компонент встроенного антивируса нужно вручную (в большинстве случаев не рекомендуется использовать одновременно несколько разных антивирусов на одном компьютере/сервере).
Удалить компонент Windows Defender в Windows Server 2019/2016 можно из графической консоли Server Manager или такой PowerShell командой:
Uninstall-WindowsFeature -Name Windows-Defender
Не удаляйте Windows Defender, если на сервере отсутствует другой антивирус.
Установить службы Windows Defender можно командой:
Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI
Управление Windows Defender с помощью PowerShell
Рассмотрим типовые команды PowerShell, которые можно использовать для управления антивирусом Windows Defender.
Проверить, запущена ли служба Windows Defender Antivirus Service можно с помощью команды PowerShell Get-Service:
Get-Service WinDefend
Как вы видите, служба запушена (статус –
Running
).
Текущие настройки и статус Defender можно вывести с помощью командлета:
Get-MpComputerStatus
Вывод комадлета содержит версию и дату обновления антивирусных баз (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), включенные компоненты антвируса, время последнего сканирования (QuickScanStartTime) и т.д.
Отключить защиту в реальном времени Windows Defender (RealTimeProtectionEnabled) можно с помощью команды:
Set-MpPreference -DisableRealtimeMonitoring $true
После выполнения данной команды, антивирус не будет сканировать на лету все обрабатываемые системой файлы.
Включить защиту в реальном времени:
Set-MpPreference -DisableRealtimeMonitoring $false
Более полный список командлетов PowerShell, которые можно использовать для управления антивирусом есть в статье Управление Windows Defender с помощью PowerShell.
Добавить исключения в антивирусе Windows Defender
В антивирусе Microsoft можно задать список исключений – это имена, расширения файлов, каталоги, которые нужно исключить из автоматической проверки антивирусом Windows Defender.
Особенность Защитника в Windows Server – он автоматически генерируемый список исключений антивируса, который применяется в зависимости от установленных ролей сервера. Например, при установке роли Hyper-V в исключения антивируса добавляются файлы виртуальных и дифференциальных дисков, vhds дисков (*.vhd, *.vhdx, *.avhd), снапшоты и другие файлы виртуальных машин, каталоги и процессы Hyper-V (Vmms.exe, Vmwp.exe)
Если нужно отключить автоматические исключения Microsoft Defender, выполните команду:
Set-MpPreference -DisableAutoExclusions $true
Чтобы вручную добавить определенные каталоги в список исключения антивируса, выполните команду:
Set-MpPreference -ExclusionPath "C:Test", "C:VM", "C:Nano"
Чтобы исключить антивирусную проверку определенных процессов, выполните команду:
Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"
Получаем статус Windows Defender с удаленных компьютеров через PowerShell
Вы можете удаленно опросить состояние Microsoft Defender на удаленных компьютерах с помощью PowerShell. Следующий простой скрипт при помощи командлета Get-ADComputer выберет все Windows Server хосты в домене и через WinRM (командлетом Invoke-Command) получит состояние антивируса, время последнего обновления баз и т.д.
$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderinfo= Invoke-Command $server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled,RealTimeProtectionEnabled,AntivirusSignatureLastUpdated,QuickScanAge,FullScanAge}
If ($defenderinfo) {
$objReport = [PSCustomObject]@{
User = $defenderinfo.PSComputername
Antivirusenabled = $defenderinfo.Antivirusenabled
RealTimeProtectionEnabled = $defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated = $defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge = $defenderinfo.QuickScanAge
FullScanAge = $defenderinfo.FullScanAge
}
$Report += $objReport
}
}
$Report|ft
Для получения информации о срабатываниях антивируса с удаленных компьютеров можно использовать такой PowerShell скрипт:
$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderalerts= Invoke-Command $server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser,ProcessName,InitialDetectionTime ,CleaningActionID,Resources }
If ($defenderalerts) {
foreach ($defenderalert in $defenderalerts) {
$objReport = [PSCustomObject]@{
Computer = $defenderalert.PSComputername
DomainUser = $defenderalert.DomainUser
ProcessName = $defenderalert.ProcessName
InitialDetectionTime = $defenderalert.InitialDetectionTime
CleaningActionID = $defenderalert.CleaningActionID
Resources = $defenderalert.Resources
}
$Report += $objReport
}
}
}
$Report|ft
В отчете видно имя зараженного файла, выполненное действие, пользователь и процесс-владелец.
Обновление антивируса Windows Defender
Антивирус Windows Defender может автоматически обновляться из Интернета с серверов Windows Update. Если в вашей внутренней сети установлен сервер WSUS, антивирус может получать обновления с него. Убедитесь, что установка обновлений одобрена на стороне WSUS сервера (в консоли WSUS обновления антивирусных баз Windows Defender, называются Definition Updates), а клиенты нацелены на нужный сервер WSUS с помощью GPO.
В некоторых случаях, после получения кривого обновления, Защитник Windows может работать некорректно. В этом случае рекомендуется сбросить текущие базы и перекачать их заново:
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" –SignatureUpdate
Если на сервере нет прямого доступа в Интернет, вы можете настроить обновление Microsoft Defender из сетевой папки.
Скачайте обновления Windows Defender вручную (https://www.microsoft.com/en-us/wdsi/defenderupdates) и помесите в сетевую папку.
Укажите путь к сетевому каталогу с обновлениями в настройках Defender:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources fs01UpdatesDefender
Запустите обновление базы сигнатур:
Update-MpSignature -UpdateSource FileShares
Управление настройками Microsoft Defender Antivirus с помощью GPO
Вы можете управлять основными параметрами Microsoft Defender на компьютерах и серверах домена централизованно с помощью GPO. Для этого используется отдельный раздел групповых политик Computer Configurations -> Administrative Template -> Windows Component -> Windows Defender Antivirus.
В этом разделе доступно более 100 различных параметров для управления настройками Microsoft Defender.
Например, для отключения антивируса Microsoft Defender нужно включить параметр GPO Turn off Windows Defender Antivirus.
Более подробно о доступных параметрах групповых политик Defender можно посмотреть здесь https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/use-group-policy-microsoft-defender-antivirus
Централизованное управление Windows Defender доступно через Advanced Threat Protection доступно через портал “Azure Security Center” (ASC) при наличии подписки (около 15$ за сервер в месяц).
12.10.2017
Время чтения: 5 мин
Соавторы
Область применения
- WindowsServer2016
Аудитория
- Администраторы безопасности предприятия
- Администраторы сети
Управляемость, доступная с помощью
- Групповая политика
- System Center Configuration Manager
- PowerShell
- Инструментарий управления Windows (WMI)
Антивирусная программа «Защитник Windows» доступна в Windows Server 2016. В некоторых случаях она называется Endpoint Protection, однако ее модуль защиты идентичен.
Хотя функции, настройки и управление во многом одинаково для антивирусной программы «Защитник Windows» в Windows 10 или Windows Server 2016, существуют несколько важных отличий.
- В Windows Server 2016 автоматические исключения применяются в зависимости от вашей определенной роли сервера.
- В Windows Server 2016 антивирусная программа «Защитник Windows» не отключается самостоятельно при запуске другого антивирусного продукта.
В этой статье содержатся следующие инструкции по настройке и запуску антивирусной программы «Защитник Windows» на платформе сервера:
-
Включение интерфейса
-
Проверка работы антивирусной программы «Защитник Windows».
-
Обновление определений антивредоносных программ.
-
Отправка образцов
-
Настройка автоматических исключений
Включение или отключение интерфейса в Windows Server 2016
Антивирусная программа «Защитник Windows» устанавливается и работает в Windows Server2016 по умолчанию. В некоторых единицах SKU по умолчанию устанавливается пользовательский интерфейс, но это не обязательно.
Если интерфейс не установлен, его можно добавить в Мастера добавления ролей и компонентов в процедуре Функции, в разделе Компоненты Защитника Windows, выбрав параметр Графический интерфейс пользователя для Защитника Windows.
Сведения об использовании мастера см. в разделе Установка и удаление ролей, служб ролей и функций.
Следующий командлет PowerShell также позволяет включить интерфейс:
PowerShell
Install-WindowsFeature -Name Windows-Defender-GUI
Чтобы скрыть интерфейс, используйте Мастер удаления ролей и компонентов и отмените выбор параметра Графический интерфейс пользователя для Защитника Windows в процедуре Функции или воспользуйтесь следующим командлетом PowerShell:
PowerShell
Uninstall-WindowsFeature -Name Windows-Defender-GUI
Важно!
AV Защитника Windows по-прежнему будут работать нормально без пользовательского интерфейса, но пользовательский интерфейс не может быть включен, если вы отключили основной компонент в Защитнике Windows.
Установка и удаление AV Защитника Windows в Windows Server 2016
Можно также удалить AV Защитника Windows полностью с помощью Мастера удаления ролей и компонентов путем отмены выбора параметра Компоненты Защитника Windows в процедуре Функции в мастере.
Это имеет смысл делать, если на компьютере уже установлен сторонний антивирусный продукт. Установка и активная работа нескольких антивирусных продуктов на одном и том же компьютере может стать причиной проблем. См. вопрос «Следует ли запускать программное обеспечение для безопасности корпорации Майкрософт одновременно с другими продуктами безопасности?» в вопросах и ответах по антивирусному и антивредоносному ПО (Защитнику Windows).
Примечание
Отмена выбора Защитник Windows по отдельности в разделе Компоненты Защитника Windows автоматически отобразит запрос на удаление параметра интерфейса Графический интерфейс пользователя для Защитника Windows.
Следующий командлет PowerShell также удалит AV Защитника Windows в Windows Server 2016:
PS
Uninstall-WindowsFeature -Name Windows-Defender
Чтобы снова установить AV Защитника Windows, используйте Мастер добавления ролей и компонентов и убедитесь, что компонент Защитник Windows выбран. Можно также включить интерфейс, выбрав параметр GUID для Защитника Windows.
Также можно использовать следующий командлет PowerShell для установки AV Защитника Windows:
PS
Install-WindowsFeature -Name Windows-Defender
Проверка работы Защитника Windows
Чтобы убедиться, что антивирусная программа «Защитник Windows» запущена на сервере, выполните в командной строке следующую команду:
DOS
sc query Windefend
Команда
sc query
возвращает сведения о службе Защитника Windows. Если Защитник Windows работает, в параметре
STATE
отображается значение
RUNNING
.
Обновление определений антивредоносных программ.
Чтобы получать обновления определений антивредоносных программ, должна быть запущена служба Центра обновлений Windows. Если вы пользуетесь службой управления обновлениями (например, службами Windows Server Update Services (WSUS)), убедитесь в том, что обновления определений для антивирусной программы «Защитник Windows» применимы к компьютерам, которыми вы управляете.
По умолчанию Центр обновления Windows не скачивает и не устанавливает обновления автоматически в Windows Server2016. Эти настройки можно изменить одним из следующих способов:
-
Центр обновления Windows на панели управления.
-
Устанавливать обновления автоматически— все обновления устанавливаются автоматически, включая обновления определений для Защитника Windows.
-
Загружать обновления, но решение об установке принимается мной— Защитнику Windows разрешается автоматически загружать и устанавливать обновления определений, но другие обновления не устанавливаются автоматически.
-
-
Групповая политика. Вы можете настроить Центр обновления Windows и управлять им с помощью параметров, доступных в групповой политике по следующему пути: Административные шаблоны > Компоненты Windows > Центр обновления Windows > Настройка автоматического обновления.
-
Раздел реестра AUOptions. Следующие два значения разрешают Центру обновления Windows автоматически загружать и устанавливать обновления определений.
-
4 Устанавливать обновления автоматически. Это значение разрешает автоматическую установку всех обновлений, включая обновления определений для Защитника Windows.
-
3 Загружать обновления, но решение об установке принимается мной. Это значение разрешает Защитнику Windows автоматически загружать и устанавливать обновления определений, но другие обновления не устанавливаются автоматически.
-
Чтобы обеспечить непрерывную защиту от вредоносных программ, рекомендуется включить следующие службы:
-
Служба отчетов об ошибках Windows
-
Служба «Центр обновления Windows»
В следующей таблице перечислены службы для Защитника Windows и зависимые службы.
Название службы | Расположение файла | Описание |
---|---|---|
Служба Защитника Windows (Windefend) | C:Program FilesWindows DefenderMsMpEng.exe | Это основная антивирусная служба Защитника Windows, которая должна работать постоянно. |
Служба отчетов об ошибках Windows (Wersvc) | C:WINDOWSSystem32svchost.exe -k WerSvcGroup | Эта служба отправляет отчеты об ошибках в корпорацию Майкрософт. |
Брандмауэр Защитника Windows (MPSSVC) | C:WINDOWSsystem32svchost.exe -k LocalServiceNoNetwork | Рекомендуется оставлять службу брандмауэра Защитника Windows включенной. |
Центр обновления Windows (Wuauserv) | C:WINDOWSsystem32svchost.exe -k netsvcs | Служба Центра обновления Windows необходима для получения обновлений определений и модуля защиты от вредоносных программ. |
Отправка образцов
Благодаря функции отправки образцов мы собираем образцы потенциально вредоносного ПО. Для обеспечения постоянной защиты программного обеспечения с помощью самых современных средств специалисты Майкрософт используют эти образцы для анализа подозрительных действий и обновления определений вредоносных программ.
Мы собираем исполняемые программные файлы, такие как файлы .exe и dll. Мы не собираем файлы, содержащие личные данные, такие как документы Microsoft Word и PDF-файлы.
Включение автоматической отправки образцов
-
Чтобы включить автоматическую отправку образцов, запустите консоль Windows PowerShell с правами администратора и задайте значение SubmitSamplesConsent в соответствии с одним из следующих параметров:
-
Всегда спрашивать. Служба Защитника Windows предложит подтвердить отправку всех требуемых файлов. Это значение используется Защитником Windows по умолчанию, однако его не рекомендуется использовать при установке Windows Server2016 без графического интерфейса пользователя.
-
1 Отправлять безопасные образцы автоматически. Служба Защитника Windows отправляет все файлы, помеченные как безопасные, и запрашивает разрешение на отправку оставшейся части файлов.
-
2 Никогда не отправлять. Служба Защитника Windows не запрашивает и не отправляет файлы.
-
3 Отправлять все образцы автоматически. Служба Защитника Windows отправляет все файлы без запроса на подтверждение.
-
Настройка автоматических исключений
Чтобы обеспечить безопасность и высокую производительность, автоматически добавляются определенные исключения на основе ролей и компонентов, установленных при использовании антивирусной программы «Защитник Windows» на Server 2016.
Дополнительные сведения см. в статье Настройка исключений в антивирусной программе «Защитник Windows» в Windows Server.
Статьи по теме
- Антивирусная программа «Защитник Windows» в Windows10
- Настройка исключений в антивирусной программе «Защитник Windows» в Windows Server
Обратная связь
Мы бы хотели узнать ваше мнение. Укажите, о чем вы хотите рассказать нам.
https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-defender-antivirus/windows-defender-antivirus-on-windows-server-2016
Мы не будем описывать как важно иметь установленный антивирус на вашем виртуальном или аппаратом сервере, а также особенности работы антивирусов и их рейтинги. Безусловно мы рекомендуем использовать антивирусы лидеров отрасли, таких как ESET NOD32 или Антивирус Касперского, так как вероятность, что их алгоритмы обнаружения вредоносов все же будет выше, чем каких-либо бесплатных продуктов и ваш сервер будет более защищен. Однако пока вы выбираете какой продукт установить на свой сервер, мы рекомендуем включить бесплатный антивирус от Microsoft, который идет в комплекте с Windows Server начиная с версии 2016.
Бесплатный антивирус в Windows Server называется Windows Defender в англоязычной редакции операционной системы, или Защитник Windows в русскоязычной. Достаточно часто Windows Defender попадает в первую десятку наряду с другими антивирусами как платными так и бесплатными. Он достаточно хорошо выявляет вирусные угрозы, программы вымогатели шифрующие данные, и различное другое вредоносное программное обеспечение. Защитник Windows будет хорошо проявлять себя особенно если на вашем сервере настроены автоматические обновления безопасности, так как базовые уязвимости Windows Server и угрозы нулевого дня не самые сильные стороны встроенного бесплатного антивируса Windows Defender.
Итак, как же активировать встроенный антивирус? Приводим инструкцию:
Шаги мы приведем для русскоязычной версии Windows Server 2016, лицензию на которую мы предоставляем на всех наших виртуальных серверах VPS, так и на серверах запускаемых в виртуальной IaaS инфраструктуре на базе Windows.
Сначала находим Защитник Windows в меню и запускаем его:
При стандартных настройках Windows Server 2016, служба антивируса отключена, так как его работа влияет на производительность сервера, поэтому нам нужно его активировать. Такой экран вы увидите при первичном запуске приложения:
Жмем на «Включить» и, через короткий промежуток времени встроенный бесплатный антивирус будет активирован. Мы также рекомендуем сразу провести обновления антивирусных баз.
Осуществить обновления сигнатур на вашем виртуальном сервере достаточно просто, необходимо просто нажать «Обновление определений» и процесс скачивания обновлений и их установки начнется сразу.
Когда антивирус обновится и будет активирован, вы постоянно сможете наблюдать его в панели задач сервера, и можете быстро запускать его для проверки или обновлений. Также его можно и отключить, если вы захотите сменить его на более функциональный продукт.
На этом заканчиваем краткий обзор по активации встроенного Защитника Windows. Вы можете его использовать на постоянной основе, либо же пока не выберите другой антивирус. В любом случае мы не рекомендуем оставлять ваш VPS/VDS сервер без установленного антивируса, как и любой другой сервер на базе Windows Server.
Наш телеграм-канал
Регулярно пишем о технологиях.
Подписаться
Eager to know about ‘windows defender antivirus’ and install it? Then take a peek at this blog.
Here at Bobcares, we have seen several such Windows related queries as part of our Server Management Services for web hosts and online service providers.
Today we’ll see how to install windows defender antivirus.
A few facts about windows defender antivirus
The Microsoft Defender is an anti-malware component that Microsoft Windows provides. It is available on Windows Server 2016 and Windows Server 2019.
Also, it is referred to as the Endpoint Protection.
The functionality, configuration, and management are quite the same for the Microsoft Defender Antivirus on Windows 10 except for a few differences.
How to install Windows Defender Antivirus in Windows servers2016 and 2019
Now let’s take a look at how to install the Defender.
1. Enable the user interface on Windows Server 2016 or 2019
Microsoft Defender Antivirus is installed and functional on Windows Server 2016 and Windows Server 2019 by default. Also, the GUI is installed by default in some of the SKUs. However, in case, if it is not installed then you can add it by using the Add Roles and Features Wizard or PowerShell.
Turn on the GUI using the Add Roles and Features Wizard
- Use the Add Roles and Features Wizard.
- When you come across the Features step of the wizard which is present under Windows Defender Features, select the GUI for Windows Defender option.
Turn on the GUI using PowerShell
Run the below PowerShell cmdlet to enable the interface.
Install-WindowsFeature -Name Windows-Defender-GUI
2. Install Microsoft Defender Antivirus on Windows Server 2016 or 2019
For installation, you can use either the Add Roles and Features Wizard or PowerShell to install Microsoft Defender Antivirus.
Use the Add Roles and Features Wizard
In Add Roles and Features Wizard, when you come across the Features step of the wizard, select the Microsoft Defender Antivirus option. Also, select the GUI for the Windows Defender option.
Use PowerShell
Run the below command to install Microsoft Defender Antivirus using the PowerShell.
Install-WindowsFeature -Name Windows-Defender
3. Verify Microsoft Defender Antivirus is running
Run the below PowerShell cmdlet to verify that Microsoft Defender Antivirus is running on the server
Get-Service -Name windefend
Run the below PowerShell cmdlet to verify that firewall protection is turned on or not.
Get-Service -Name mpssvc
To verify that Microsoft Defender Antivirus is running or not, you can use Command Prompt as an alternative to PowerShell. For that, run the below command from a command prompt.
sc query Windefend
4. Update antimalware Security intelligence
You must have the Windows Update service running so that you will get an updated antimalware Security intelligence. In case, if you are using update management service, like Windows Server Update Services (WSUS), make sure that updates for Microsoft Defender Antivirus Security.
By default, on Windows Server 2016 or 2019, the Windows Update doesn’t download and install updates automatically. However, you can change this configuration by using one of the following methods.
Method 1: Windows Update in Control Panel
- ‘Install updates automatically’ results in all updates being automatically installed, including Windows Defender Security intelligence updates.
- ‘Download updates but let me choose whether to install them’ will allow Windows Defender to download and install Security intelligence updates automatically. But other updates aren’t installed automatically.
Method 2: Group Policy
- You can set up and manage Windows Update by using the settings available in Group Policy, in the following path: ‘Administrative TemplatesWindows ComponentsWindows UpdateConfigure Automatic Updates’
Method 3: The AUOptions registry key
- The following two values will allow Windows Update to automatically download and install Security intelligence updates.
– 4 Install updates automatically. This value will result in all updates being automatically installed, including Windows Defender Security intelligence updates.
– 3 Download updates but let me choose whether to install them. This value will allow Windows Defender to download and install Security intelligence updates automatically. But other updates aren’t installed automatically.
Ensure that you enable ‘Windows Error Reporting service’ and ‘Windows Update service’ so that protection from malware is maintained.
[Need any further assistance with Windows queries? – We are here to help you.]
Conclusion
In today’s writeup, we saw how to install windows defender antivirus.
PREVENT YOUR SERVER FROM CRASHING!
Never again lose customers to poor server speed! Let us help you.
Our server experts will monitor & maintain your server 24/7 so that it remains lightning fast and secure.
GET STARTED
var google_conversion_label = «owonCMyG5nEQ0aD71QM»;
- Remove From My Forums
-
Question
-
Hi,
I’m wanting to switch to Defender however previously had a 3rd party AV and had the GPO «set to disable Defender.I’ve removed the 3rd party AV, rebooted, Changed the GPO setting «
If you enable this policy setting, Windows Defender Antivirus does not run, and will not scan computers for malware or other potentially unwanted software.
If you disable this policy setting, Windows Defender Antivirus will run regardless of any other installed antivirus product.
If you do not configure this policy setting, Windows will internally manage Windows Defender Antivirus. If you install another antivirus program, Windows automatically disables Windows Defender Antivirus. Otherwise, Windows Defender Antivirus will scan your
computers for malware and other potentially unwanted software.Enabling or disabling this policy may lead to unexpected or unsupported behavior. It is recommended that you leave this policy setting unconfigured.» gpmc_settingname=»Turn off Windows Defender Antivirus» gpmc_settingpath=»Computer Configuration/Administrative
Templates/Windows Components/Windows Defender Antivirus» gpmc_supported=»At least Windows Vista» tabindex=»0″>When opening Windows Defender on any 2016 server Defender is disabled, the services won’t start. The GUI presents like
below. Clicking «Start Now» gets the Windows defender service up and running. But thats a very manual process to get a lot of servers up and running.I also have the scenario of how can this be done on Server 2016+ servers that don’t have the GUI e.g. command-line. Is there a command-line to start the service.
Windows Defender services can’t be started manually. «WinDefend», errors with below. Event viewer «Windows Defender» doesnt record any errors. Tried also capturing what it’s doing via «Start Now» button using process monitor
and haven’t been able to pinpoint how it can be started.
- Remove From My Forums
-
Question
-
Hi,
I’m wanting to switch to Defender however previously had a 3rd party AV and had the GPO «set to disable Defender.I’ve removed the 3rd party AV, rebooted, Changed the GPO setting «
If you enable this policy setting, Windows Defender Antivirus does not run, and will not scan computers for malware or other potentially unwanted software.
If you disable this policy setting, Windows Defender Antivirus will run regardless of any other installed antivirus product.
If you do not configure this policy setting, Windows will internally manage Windows Defender Antivirus. If you install another antivirus program, Windows automatically disables Windows Defender Antivirus. Otherwise, Windows Defender Antivirus will scan your
computers for malware and other potentially unwanted software.Enabling or disabling this policy may lead to unexpected or unsupported behavior. It is recommended that you leave this policy setting unconfigured.» gpmc_settingname=»Turn off Windows Defender Antivirus» gpmc_settingpath=»Computer Configuration/Administrative
Templates/Windows Components/Windows Defender Antivirus» gpmc_supported=»At least Windows Vista» tabindex=»0″>When opening Windows Defender on any 2016 server Defender is disabled, the services won’t start. The GUI presents like
below. Clicking «Start Now» gets the Windows defender service up and running. But thats a very manual process to get a lot of servers up and running.I also have the scenario of how can this be done on Server 2016+ servers that don’t have the GUI e.g. command-line. Is there a command-line to start the service.
Windows Defender services can’t be started manually. «WinDefend», errors with below. Event viewer «Windows Defender» doesnt record any errors. Tried also capturing what it’s doing via «Start Now» button using process monitor
and haven’t been able to pinpoint how it can be started.
Windows Defender Antivirus is Microsoft’s free built-in antivirus that comes installed by default on Windows Server 2016 and 2019 (since Windows 10 2004 the name Microsoft Defender is used). In this article we’ll look at the features of Windows Defender on Windows Server 2019/2016.
Contents:
- Enable Windows Defender GUI on Windows Server
- How to Uninstall Windows Defender Antivirus on Windows Server 2019 and 2016?
- Managing Windows Defender Antivirus with PowerShell
- How to Exclude Files and Folder from Windows Defender Antivirus Scans?
- Get Windows Defender Status Reports from Remote Computers via PowerShell
- Updating Windows Defender Antivirus Definitions
- Configure Windows Defender Using Group Policy
Enable Windows Defender GUI on Windows Server
Windows Server 2016 and 2019 (including the Core edition) have the Windows Defender Antivirus engine built in. You can check if Windows Defender Antivirus is installed using PowerShell:
Get-WindowsFeature | Where-Object {$_. name -like "*defender*"} | ft Name,DisplayName,Installstate
However, there is no Windows Defender Antivirus GUI in Windows Server 2016 by default. You can install the Windows Defender graphical interface on Windows Server 2016 through the Server Manager console (Add Roles and Features -> Features -> Windows Defender Features -> GUI for Windows Defender feature).
Or, you can enable the Windows Defender antivirus GUI using PowerShell:
Install-WindowsFeature -Name Windows-Defender-GUI
To uninstall the Defender GUI, the following PowerShell command is used:
Uninstall-WindowsFeature -Name Windows-Defender-GUI
In Windows Server 2019, the Defender GUI is based on the APPX application and is accessible through the Windows Security app (Settings -> Update and Security ).
Windows Defender is configured through the “Virus and threat protection” menu.
If you cannot open the Defender settings menu, and when you run the Windows Security applet you get the error “You’ll need a new app to open this windowsdefender
”, you need to re-register the APPX application using the manifest file with the following PowerShell command:
Add-AppxPackage -Register -DisableDevelopmentMode "C:WindowsSystemAppsMicrosoft.Windows.SecHealthUI_cw5n1h2txyewyAppXManifest.xml"
If the UWP (APPX) app is completely removed, you can restore it manually, similar to restoring the Microsoft Store application.
How to Uninstall Windows Defender Antivirus on Windows Server 2019 and 2016?
In Windows 10, when you install any third-party antivirus (McAfee, Norton, Avast, Kaspersky, Symantec, etc.), the built-in Windows Defender antivirus is disabled. However, it doesn’t happen in Windows Server. You have to disable the built-in antivirus engine manually (in most cases, it is not recommended to use several antivirus programs at a time on one computer or server).
You can uninstall Windows Defender in Windows Server 2019/2016 using Server Manager or with the following PowerShell command:
Uninstall-WindowsFeature -Name Windows-Defender
Do not uninstall Windows Defender if there is no other antivirus on the server.
You can install Windows Defender services with the command:
Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI
Managing Windows Defender Antivirus with PowerShell
Let’s consider typical PowerShell commands that you can use to manage Windows Defender Antivirus.
You can make sure if Windows Defender Antivirus service is running using this PowerShell command:
Get-Service WinDefend
As you can see, the service is started (Status – Running
)
You can display the current status and settings of Defender using the following cmdlet:
Get-MpComputerStatus
The cmdlet displays the version and the date of the latest antivirus database update (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), enabled antivirus components, the time of the last scan (QuickScanStartTime), etc.
You can disable Windows Defender real time protection as follows:
Set-MpPreference -DisableRealtimeMonitoring $true
After executing this command, the antivirus will not scan in real time all files that are opened by the operating system or users.
Here’s how you can enable real-time antivirus protection:
Set-MpPreference -DisableRealtimeMonitoring $false
For example, you need to enable scanning for external USB storage devices. Get the current settings with command:
Get-MpPreference | fl disable*
If the USB drive scanning is disabled (DisableRemovableDriveScanning = True
), you can enable the scan using the command:
Set-MpPreference -DisableRemovableDriveScanning $false
A complete list of PowerShell cmdlets in the Windows Defender module can be displayed with the command:
Get-Command -Module Defender
How to Exclude Files and Folder from Windows Defender Antivirus Scans?
You can set the list of exclusions – these are names, file extensions, directories to be excluded from the automatic Windows Defender Antivirus scan. The peculiarity of Windows Defender in Windows Server 2019/2016 is the automatically generated list of exclusions applied depending on the installed Windows Server roles and features.
For example, if the Hyper-V role is installed, the following object will be added to the Defender exclusion list: virtual and differencing disks, VHDS disks (*.vhd, *.vhdx, *.avhd), snapshots, Hyper-V folders and processes (Vmms. exe, Vmwp.exe).
If you want to disable Microsoft Defender automatic exclusions on Windows Server, run the command:
Set-MpPreference -DisableAutoExclusions $true
To add the specific directories to the antivirus exclusion list manually, run this command:
Set-MpPreference -ExclusionPath "C:ISO", "C:VM", "C:Nano"
To exclude antivirus scanning of certain processes use the following command:
Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"
Get Windows Defender Status Reports from Remote Computers via PowerShell
You can get the Microsoft Defender Antivirus status from remote computers using PowerShell. The following simple script will find all Windows Server hosts in the AD domain and get the Defender state through WinRM (using the Invoke-Command cmdlet):
$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderinfo= Invoke-Command $server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled,RealTimeProtectionEnabled,AntivirusSignatureLastUpdated,QuickScanAge,FullScanAge}
If ($defenderinfo) {
$objReport = [PSCustomObject]@{
User = $defenderinfo.PSComputername
Antivirusenabled = $defenderinfo.Antivirusenabled
RealTimeProtectionEnabled = $defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated = $defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge = $defenderinfo.QuickScanAge
FullScanAge = $defenderinfo.FullScanAge
}
$Report += $objReport
}
}
$Report|ft
To get information about antivirus detections, you can use the following PowerShell script:
$Report = @()
$servers = Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderalerts= Invoke-Command $server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser,ProcessName,InitialDetectionTime ,CleaningActionID,Resources }
If ($defenderalerts) {
foreach ($defenderalert in $defenderalerts) {
$objReport = [PSCustomObject]@{
Computer = $defenderalert.PSComputername
DomainUser = $defenderalert.DomainUser
ProcessName = $defenderalert.ProcessName
InitialDetectionTime = $defenderalert.InitialDetectionTime
CleaningActionID = $defenderalert.CleaningActionID
Resources = $defenderalert.Resources
}
$Report += $objReport
}
}
}
$Report|ft
The report shows the name of the infected file, the action performed, the user, and the owner process.
Updating Windows Defender Antivirus Definitions
Windows Defender Antivirus can automatically update online from Windows Update servers. If there is an internal WSUS server in your network, the Microsoft antivirus can receive updates from it. You just need to make sure that the installation of updates has been approved on your WSUS server (Windows Defender Antivirus updates are called Definition Updates in the WSUS console), and clients are targeted to the correct WSUS server using GPO.
In some cases, Windows Defender may work incorrectly after getting a broken update. Then it is recommended to reset current definitions database and download them again:
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" –SignatureUpdate
If your Windows Server does not have direct access to the Internet, you can update Microsoft Defender from a network folder.
Download Windows Defender updates manually (https://www.microsoft.com/en-us/wdsi/defenderupdates) and place them to a shared network folder. Set the path to the shared folder with Defender updates:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources mun-fs01Defender
Run the antivirus definition update:
Update-MpSignature -UpdateSource FileShares
Configure Windows Defender Using Group Policy
You can manage basic Microsoft Defender settings on computers and servers using Group Policy. Use the following GPO section: Computer Configurations -> Administrative Template -> Windows Component -> Windows Defender Antivirus.
This section provides over 100 different options for managing Microsoft Defender settings.
For example, to completely disable your antivirus, you must enable the GPO parameter “Turn off Windows Defender Antivirus”.
More information on the available Defender Group Policy settings can be found here. https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/use-group-policy-microsoft-defender-antivirus
Windows Defender centralized management is available via the Advanced Threat Protection on the Azure Security Center (ASC) portal with a paid subscription (about $15 per host/month).
Содержание
- 1 Настройки системы
- 2 Запуск службы
- 3 Редактор групповой политики
- 3.1 Решение для пользователей 8 и 10 версий
- 3.2 Решение для пользователей 7 версии
- 4 Видео по теме защитника Windows 7
- 5 Видео по теме защитника Windows 8
Компания Майкрософт разработала собственный антивирус – Defender, который распространяется как часть ОС Windows 10. К сожалению, он не может похвастаться такими обширными базами, как платные конкуренты, но обычным пользователям его вполне хватает. Если после обновления антивирус оказался отключен, вы можете легко запустить его вручную. В данной статье описывается, как включить защитник Windows 10. В конце статьи вы можете посмотреть видео с инструкциями по настройке Защитника для 7 и 8 версий.
Так как Defender является встроенной программой, вы можете управлять ее работой с помощью меню конфигураций Виндовс 10. Если же они недоступны, вам потребуется активировать соответствующую службу.
Настройки системы
- Вызовите меню «Пуск». Для этого нужно нажать кнопку с логотипом Виндовс в левом нижнем углу экрана. Вы также можете воспользоваться горячей клавишей Win.
- Запустите меню «Параметры».
- В открывшемся окне нужно перейти в раздел «Обновление и безопасность».
- С помощью панели закладок слева откройте категорию «Защитник Windows» («Windows Defender» в англоязычной версии).
- Здесь вы можете включить 3 опции: Защита в реальном времени, Облачная Защита и Автоматическая отправка образцов. Непосредственно на работу антивируса влияет только 1-ый параметр, остальные же помогают программе развиваться и совершенствоваться.
Если у вас есть какие-то файлы, которые могут быть удалены антивирусом (кейгены, кряки, активаторы), их можно защитить.
Для этого нажмите «Добавить исключение». Здесь вы можете исключить какие-то конкретные файлы и папки, или запретить для проверки целые расширения и процессы.
В самом низу окна находится гиперссылка «Открыть Защитник Windows», которая позволяет показать рабочее окно Defender. Здесь вы можете проследить за ходом обновлений и проверок, а так же назначить внеплановую проверку.
Запуск службы
Управление службами в Windows 10 осуществляется так же, как и в предыдущих версиях — через специальный диспетчер. Чтобы вызвать его, сделайте следующее:
- В поисковой строке внизу экрана введите «Службы».
- Запустите найденную утилиту.
- В представленном списке вам необходимо найти объект с названием «Служба Защитника Windows» (может отображаться как «windefend»).
- Дважды кликните по ней, чтобы открыть меню настроек.
- В графе «Тип запуска» нужно выставить значение «Автоматически».
- Щелкните Запустить, чтобы активировать работу Defender.
- Нажмите Применить и Ok, чтобы сохранить изменения и выйти.
Соответственно, если вам нужно отключить работу программы в Виндовс 10, остановите службу и установите тип запуска: «Отключен».
Редактор групповой политики
Некоторые пользователи Windows не могут поменять параметры службы windefend. Вы можете увидеть сообщение «Эта программа заблокирована групповой политикой».
Если вы также столкнулись с этой проблемой, необходимо изменить параметры групповой политики. Для разных версий ОС существуют разные методы.
Иногда подобная блокировка может свидетельствовать о заражении ПК вирусами. Поэтому первым делом, если вы не знаете причины появления блокировки, следует проверить компьютер антивирусом.
Решение для пользователей 8 и 10 версий
- Вызовите диалоговое окно «Выполнить». Это делается с помощью сочетания клавиш Win + R.
- В открывшемся небольшом окошке введите «gpedit.msc» и нажмите Enter.
- Откройте раздел «Конфигурация компьютера».
- Перейдите в папку «Административные шаблоны», а затем – «Компоненты Windows».
- Найдите раздел «Endpoint protection» (или «Защитник Windows»).
- Откройте «Защита в режиме реального времени».
- Дважды кликните по записи «Выключить защиту в реальном времени».
- Если напротив пункта «Включен» установлена отметка, ее требуется поставить на «Отключен» или «Не задано».
Важно! Этот параметр выключает работу Defender. Его нужно активировать, если вы хотите отключить антивирус, и наоборот. Не перепутайте!
Решение для пользователей 7 версии
Перед выполнением дальнейших действий следует сделать резервную копию реестра.
- Запустите программу «Выполнить», например, с помощью Win + R
- Наберите «regedit», затем нажмите Enter
- Найдите HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows Defender
- Удалите значение для параметра DisableAntiSpyware.
- Закройте реестр и перезагрузите систему.
Дополнительные сведения по настройкам Защитника в реестре можете почерпнуть здесь: https://support.microsoft.com/ru-ru/kb/927367
Видео по теме защитника Windows 7
Видео по теме защитника Windows 8
February 28, 2019
Windows
Microsoft has been including its Windows Defender antivirus software in Windows 10, and now they’re also automatically including it and enabling it in Windows Server 2016. While this is welcomed by some organizations that may not have another antivirus solution, running multiple antivirus applications has been known to cause issues for a long time and has not been recommended by IT personnel for many years. In Windows 10, Windows Defender has an API that allows other antivirus programs to disable it to prevent issues. Unfortunately, Microsoft decided to remove that API option in Windows Server 2016, so even if you install another antivirus product, Windows Defender will still be enabled.
How To Disable Windows Defender In Roles And Features Wizard
The first place you can try to disable and remove Windows Defender is in the Roles and Features Wizard within Server Manager. Some people report that the option to remove Windows Defender is greyed out, which leaves Powershell.
- Open Server Manager
- Click Manage > Remove Roles And Features
- Click Next on the Before You Begin screen
- Click Next on the Server Selection screen
- Click Next on the Remove Server Roles screen
- On the Remove Features screen, uncheck Windows Defender Features if you’re able to and click Remove
How To Disable Windows Defender Using Powershell
If you’re unable to remove Windows Defender using the steps above, then you should be able to use Powershell to uninstall Windows Defender.
You can run sc query Windefend
in a Command Prompt to see if Windows Defender is in the Running State.
- Open an administrative Powershell window
- Type
Uninstall-WindowsFeature -Name Windows-Defender
- After pressing enter, you’ll need to restart the server to uninstall Windows Defender
If you decide to use Windows Defender later, you can run Install-WindowsFeature -Name Windows-Defender
in Powershell and restart the server to reinstall Windows Defender.
- Remove From My Forums
-
Question
-
Hi,
I’m wanting to switch to Defender however previously had a 3rd party AV and had the GPO «set to disable Defender.I’ve removed the 3rd party AV, rebooted, Changed the GPO setting «
If you enable this policy setting, Windows Defender Antivirus does not run, and will not scan computers for malware or other potentially unwanted software.If you disable this policy setting, Windows Defender Antivirus will run regardless of any other installed antivirus product.
If you do not configure this policy setting, Windows will internally manage Windows Defender Antivirus. If you install another antivirus program, Windows automatically disables Windows Defender Antivirus. Otherwise, Windows Defender Antivirus will scan your
computers for malware and other potentially unwanted software.Enabling or disabling this policy may lead to unexpected or unsupported behavior. It is recommended that you leave this policy setting unconfigured.» gpmc_settingname=»Turn off Windows Defender Antivirus» gpmc_settingpath=»Computer Configuration/Administrative
Templates/Windows Components/Windows Defender Antivirus» gpmc_supported=»At least Windows Vista» tabindex=»0″>When opening Windows Defender on any 2016 server Defender is disabled, the services won’t start. The GUI presents like
below. Clicking «Start Now» gets the Windows defender service up and running. But thats a very manual process to get a lot of servers up and running.I also have the scenario of how can this be done on Server 2016+ servers that don’t have the GUI e.g. command-line. Is there a command-line to start the service.
Windows Defender services can’t be started manually. «WinDefend», errors with below. Event viewer «Windows Defender» doesnt record any errors. Tried also capturing what it’s doing via «Start Now» button using process monitor
and haven’t been able to pinpoint how it can be started.
- Remove From My Forums
-
Question
-
Hi,
I’m wanting to switch to Defender however previously had a 3rd party AV and had the GPO «set to disable Defender.I’ve removed the 3rd party AV, rebooted, Changed the GPO setting «
If you enable this policy setting, Windows Defender Antivirus does not run, and will not scan computers for malware or other potentially unwanted software.If you disable this policy setting, Windows Defender Antivirus will run regardless of any other installed antivirus product.
If you do not configure this policy setting, Windows will internally manage Windows Defender Antivirus. If you install another antivirus program, Windows automatically disables Windows Defender Antivirus. Otherwise, Windows Defender Antivirus will scan your
computers for malware and other potentially unwanted software.Enabling or disabling this policy may lead to unexpected or unsupported behavior. It is recommended that you leave this policy setting unconfigured.» gpmc_settingname=»Turn off Windows Defender Antivirus» gpmc_settingpath=»Computer Configuration/Administrative
Templates/Windows Components/Windows Defender Antivirus» gpmc_supported=»At least Windows Vista» tabindex=»0″>When opening Windows Defender on any 2016 server Defender is disabled, the services won’t start. The GUI presents like
below. Clicking «Start Now» gets the Windows defender service up and running. But thats a very manual process to get a lot of servers up and running.I also have the scenario of how can this be done on Server 2016+ servers that don’t have the GUI e.g. command-line. Is there a command-line to start the service.
Windows Defender services can’t be started manually. «WinDefend», errors with below. Event viewer «Windows Defender» doesnt record any errors. Tried also capturing what it’s doing via «Start Now» button using process monitor
and haven’t been able to pinpoint how it can be started.
В Windows Server 2016 имеется встроенный функционал антивирусной защиты, представляющей собой «родной» антивирус Microsoft — Windows Defender, который установлен и включен по-умолчанию. В этой статье мы рассмотрим особенности антивируса Windows Defender в Windows Server 2016.
Графический интерфейс Windows Defender
По умолчанию в серверной редакции устанавливаются только движок антивируса Windows Defender (Защитник Windows). Чтобы установить графический интерфейс Defender, нужно с помощью консоли Server Manager установить серверный компонент GUI for Windows Defender (находится в разделе Windows Defender Features).
Включить графический интерфейс антивируса можно с помощью PowerShell
Install-WindowsFeature -Name Windows-Defender-GUI
Для удаления графического консоли Defender используется командлет:Uninstall-WindowsFeature -Name Windows-Defender-GUI
Удаление антивируса Windows Defender в Windows Server 2016
В Windows 10 при установке любого стороннего антвируса (Kaspersky, McAfee, Symantec, и пр.) встроенный антивирус Windows Defender отключается, однако в Windows Server 2016 этого не происходит. Отключать компонент встроенного антивируса нужно вручную (в подавляющем большинстве случаев не рекомендуется использовать одновременно несколько разных антивирусов на одном компьютере/сервере).
Удалить компонент Windows Defender в Windows Server 2016 можно из графической консоли Server Manager или такой командой:
Uninstall-WindowsFeature -Name Windows-Defender
Установка компонента выполняется командой:
Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI
Управление Windows Defender с помощью команд PowerShell
Рассмотрим типовые команды PowerShell, которые можно использовать для управления антивирусом Windows Defender.
Проверить, запущена ли служба Защитник Windows можно с помощью команды PowerShell:
Get-Service WinDefend
Как вы видите, служба запушена (статус – Running)
Текущие настройки и статус Defender можно вывести с помощью командлета:
Get-MpComputerStatus
Вывод комадлета содержит версию и дату обновления антивирусных баз, включенные компоненты, время последнего сканирования и т.д.
Отключить защиту в реальном времен Windows Defender можно с помощью команды:
Set-MpPreference -DisableRealtimeMonitoring $true
После выполнения данной команды, антивирус не будет сканировать на лету все обрабатываемые системой файлы.
Включить защиту в реальном времени:
Set-MpPreference -DisableRealtimeMonitoring $false
Более полный список команд Powershell, которые можно использовать для управления антивирусом есть в статье Управление Windows Defender с помощью PowerShell.
Исключения антивируса Windows Defender
В антивирусе можно задать список исключений – это имена, расширения файлов, каталоге, которые нужно исключить из автоматической проверки антивирусом Windows Defender. Особенность Защитника Windows в Server 2016 – автоматически генерируемый список исключений антивируса, который применяется в зависимости от установленных ролей сервера. Согласитесь, логично, например при установке роли Hyper-V исключить из проверки антивирусом файлы виртуальных и дифференциальных дисков, vhds дисков (*.vhd, *.vhdx, *.avhd ), снапшоты и другие файлы виртуальных машин.
Чтобы вручную добавить определенные каталоги в список исключения антивируса, выполните команду:
Set-MpPreference -ExclusionPath "C:Test", "C:VM", "C:Nano"
Чтобы исключить антивирусную проверку определенных процессов, выполните команду:
Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"
Обновление антивируса Windows Defender
Антивирус Windows Defender может автоматически обновляться из Интернета с серверов Windows Update. В том случае, если в сети установлен внутренний сервер WSUS, антивирус может получать обновления с него. Главное, убедится, что установка обновлений была одобрена на стороне WSUS сервера (в консоли WSUS обновления антивирусных баз Windows Defender, называются Definition Updates), а клиенты нацелены на нужный сервер WSUS с помощью GPO.
В некоторых случаях, после получения «кривого» обновления, Защитник Windows может работать некорректно. В этом случае рекомендуется сбросить текущие базы и перекачать их заново:
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" –SignatureUpdate
Некоторые причины, из-за которых служба Windows Defender отказывается запускаться в Windows 10 рассмотрены в статье Служба работы с угрозами остановлена.
This tutorial shows how to remove or disable the Windows Defender Antivirus protection in Windows Server 2016. As you may know, the Server 2016 has built-in antivirus and malware protection through the Windows Defender Application.
In Server 2016, if you want to use another another antivirus program to protect your Server, the Windows Defender will not disable itself (as it happens in Window 10) in order to maximize the protection in Server 2016. So, if you want to remove or disable Defender Antivirus in Server 2016, you have to do that, manually.
How to Disable or Uninstall Windows Defender Antivirus in Server 2016.
Part 1. How to Disable Windows Defender Real Time Protection in Windows Server 2016.
Part 2. How to Uninstall Windows Defender in Server 2016.
Part 1. How to Turn OFF Real Time Protection in Windows Defender in Server 2016.
To temporarily turn off the Windows Defender Real Time Protection in Server 2016 though GUI, go to Settings –> Update & security –> Windows Defender and set the Real Time Protection to OFF. *
To permanently disable Windows Defender in Windows Server 2016:
1. Open PowerShell as Administrator.
2. Type the following command:
- Set-MpPreference -DisableRealtimeMonitoring $true
Note: To turn on again, the real time protection give the following command in Windows PowerShell (Admin) and then restart the server:
- Set-MpPreference -DisableRealtimeMonitoring $false
Part 2. How to Uninstall Windows Defender in Server 2016.
To completely remove Windows Defender from the Windows Server 2016, you can use one of the following methods:
- Method 1. Uninstall Windows Defender using PowerShell.
- Method 2. Remove Windows Defender in Server 2016 using DISM command prompt (DISM).
- Method 3. Remove Windows Defender using the Remove Roles & Features wizard.
Method 1. Uninstall Windows Defender using PowerShell.
To remove Windows Defender using PowerShell:
1. Open PowerShell as Administrator.
2. Type the following command and press Type the following command and press Enter:
- Uninstall-WindowsFeature -Name Windows-Defender
3. Restart the server. *
* Note: To reinstall the Windows Defender feature, then give the following command in PowerShell:
- Install-WindowsFeature -Name Windows-Defender
Method 2. Remove Windows Defender in Server 2016 using DISM in command prompt.
To remove Defender using DISM: *
* Advice: Do not use this way (DISM), to remove the Windows Defender Feature, because the command removes also the Windows Defender installation package and makes impossible to reinstall the Windows Defender (of you want) in the future.
1. Open Command Prompt as Administrator.
2. Type the following command and press Enter:
- Dism /online /Disable-Feature /FeatureName:Windows-Defender /Remove /NoRestart /quiet
3. Restart the server.
Method 3. Remove Windows Defender using the Remove Roles & Features wizard.
To Uninstall Windows Defender in Windows Server 2016.
1. Open Server Manager.
2. From Manage menu, click Remove Roles and Features.
3. Press Next at the first three (3) screens.
4. At Features options, uncheck the Windows Defender Features and click Next.
5. Click Remove to remove the Windows Defender.
6. Restart your server.
* Note: To reinstall Windows Defender Antivirus on Server 2016, follow the instructions below:
1. Open Server Manager and click Add Roles and Features.
2. Click Next at the first for (4) screens of the wizard.
3. At Features screen, check the Windows Defender Features, plus the ‘Windows Defender’ and the ‘GUI for Windows Defender’ checkboxes and click Next.
4. At Confirmation screen click Install.
5. When the installation is completed click Close and restart your server.
That’s all folks! Did it work for you?
Please leave a comment in the comment section below or even better: like and share this blog post in the social networks to help spread the word about this solution.
If this article was useful for you, please consider supporting us by making a donation. Even $1 can a make a huge difference for us in our effort to continue to help others while keeping this site free:
If you want to stay constantly protected from malware threats, existing and future ones, we recommend that you install Malwarebytes Anti-Malware PRO by clicking below (we
do earn a commision from sales generated from this link, but at no additional cost to you. We have experience with this software and we recommend it because it is helpful and useful):