Windows defender как отключить windows server 2019

Windows Defender, начинает потреблять очень много CPU и нужно его удалить. Или хотите установить другой антивирус, а защитник Windows не отключать, а удалить

Обновлено 17.03.2019

удалить windows defender

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. Не так давно мы с вами установили Windows Server 2019 и произвели его базовую настройку. Развернули на сервере разные сервисы и запустили его в производственную среду. Идет время и на нем появляется проблема, что встроенный антивирус защитник Windows он же Windows Defender, начинает потреблять очень много процессорных мощностей и было принято решение его удалить. Или же у вас есть желание установить другой антивирус, а защитник Windows не отключать, а удалить совсем, как это сделать. Именно этот момент мы и разберем сегодня в данной заметке.

Можно ли полностью удалить Защитник Windows?

И так, как я и писал выше, мой Windows Defender на 2019 сервере стал кушать много CPU, примерно 25%, нечто подобное я уже видел на сервере печати, где процесс «Print Filter Pipeline Host » на 100% использовал процессор или же недавний пример с процессом Wmiprvse.exe. Пример такого поведения в Windows Server предостаточно, было принято решение отключить защитника, как службу да и еще к тому же установить сторонний антивирус Касперского, так сказать убить два зайца сразу. И какого же было мое удивление, когда я начал искать информацию об отключении Windows Defener, что в Windows Server 2016 и 2019, его можно удалить, как обычный компонент. Это правильнее, так как в системе становится меньше служб и меньше нужно обновлять ее, короче одни плюсы.

Методы удаления Windows Defender

Хоть разработчики и обошли данной возможностью Windows 10, но в Windows Server 2016 и 2019 она есть и вы полностью можете убрать из них защитник. Сделать это можно тремя методами:

  • Используя оснастку «Диспетчер серверов»
  • Оболочку PowerShell
  • Через Windows Admin Center

Что конкретно мы деинсталлируем данными методами. Откройте через пуск «Параметры Windows», или просто нажмите сочетание клавиш WIN+I. Перейдите в раздел «Обновление и безопасность».

Параметры Windows Server 2019

Находим пункт «Безопасность Windows» и нажимаем «Открыть службу безопасность Windows».

Безопасность Windows Server 2019

У вас откроется Windows Defender, в котором можно управлять четырьмя пунктами:

  1. Защита от вирусов и угроз
  2. Брандмауэр и безопасность сети
  3. Управление приложениями/браузер
  4. Безопасность устройств

windows defender в Windows Server 2019

Если посмотреть службы в Windows Server 2019, то вы обнаружите вот такие две:

  • Антивирусная программа «Защитник Windows»
  • Брандмауэр Защитника Windows

Службы защитника Windows Defender в Windows Server 2019

Удаление защитника Windows через диспетчер серверов

Оснастка «Диспетчер серверов» или ServerManager.exe, это основной инструмент администрирования серверов, начиная с Windows Server 2012 R2, который плотно вошел в инструменты системного администратора. Открываем ее и переходим в пункт «Управление — Удаление роли или компоненты».

удалить windows defender из диспетчера серверов

Выбираем сервер с которого мы планируем полностью удалить защитник Windows. Напоминаю, что «Диспетчер серверов» может управлять и удаленным сервером или целым пулом серверов. В моем примере я выберу свой локальный сервер, на котором я устанавливал WDS роль.

полностью удалить защитник из диспетчера серверов

Пропускаем окно со списком ролей Windows Server 2019

можно ли удалить windows defender

Снимаем галку «Windows Defender Antivirus», это позволит его полностью удалить с сервера. Нажимаем далее.

Удалить Windows Defender Antivirus

Нажимаем кнопку «Удалить». Сам процесс занимает около минуты.

удалить windows defender-04

После удаления компонента, нужна обязательная перезагрузка сервера. Выполните ее, когда у вас будет возможность, но лучше не затягивать, сервера начинают тупить в таком состоянии ожидания.

Перезагрузка после удаления Windows Defender

Все, теперь после перезагрузки защитник windows удален с сервера. Можете это проверить. Откройте пункт «Безопасность Windows» и убедитесь, что там пропал пункт «Защита от вирусов и угроз»

защитник windows удален с сервера

Как удалить защитник виндовс через PowerShell

Windows PowerShell, не зря называют мощным средством по управлению серверов, его возможности практически бесконечны. Полностью удалить защитник в Windows Server 2019, можно специальным командлетом. Для этого для начала проверьте состояние службы и есть ли у вас вообще в системе Windows Defender. Для этого в командной строке введите команду:

Как видите состояние у Windefend «RUNNING», что означает, что она запущена.

Состояние службы Windefend

Можно посмотреть ее состояние и через оснастку PowerShell, лучше ее открыть от имени администратора. Введите команду:

Get-Service WinDefend | Fl

Статус службы Windefend в powershell

Чтобы полностью удалить защитник виндовс, вам необходимо в PowerShell ввести вот такую команду:

Uninstall-WindowsFeature -Name Windows-Defender

Начнется процесс деинсталляции компонента Windows Server 2019, вы будите видеть шкалу прогресса.

как удалить защитник windows из powershell

Вы увидите сообщение, что служба Windows Defender Antivirus успешно удалена, и чтобы завершить удаление, вам необходимо перезапустить этот сервер.

как удалить защитник windows-06

Как удалить защитник windows через Windows Admin Center

Напоминаю, что Windows Admin Center — это новый инструмент управления серверами, локальными и удаленными, из браузера. Он легко может удалять компоненты, в нашем случае Windows Defender. Открываем его и переходим пункт «Роли и компоненты», находим «Windows Defender Antivirus» и удаляем его.

как удалить защитник windows в Windows Admin Center-01

Появится всплывающее окно, где будут проверенны зависимости, если их нет, нажмите кнопку «Да», чтобы запустить процесс деинсталляции.

как удалить защитник windows в Windows Admin Center-02

В оповещениях вы можете следить за процессом удаления, после чего вам потребуется перезагрузка.

как удалить защитник windows в Windows Admin Center-03

В итоге мы рассмотрели с вами три метода, как полностью удалить защитник виндовс (Windows Defender Antivirus). Вы могли заметить, что это очень просто. Если у вас остались ко мне вопросы, то жду их в комментариях. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org,

В Windows Server 2016 и 2019 по умолчанию установлен и включен “родной” бесплатный антивирус Microsoft — Windows Defender (начиная с Windows 10 2004 используется название Microsoft Defender). В этой статье мы рассмотрим особенности настройки и управления антивирусом Windows Defender в Windows Server 2019/2016.

Содержание:

  • Графический интерфейс Windows Defender
  • Удаление антивируса Microsoft Defender в Windows Server 2019 и 2016
  • Управление Windows Defender с помощью PowerShell
  • Добавить исключения в антивирусе Windows Defender
  • Получаем статус Windows Defender с удаленных компьютеров через PowerShell
  • Обновление антивируса Windows Defender
  • Управление настройками Microsoft Defender Antivirus с помощью GPO

Графический интерфейс Windows Defender

В версиях Windows Server 2016 и 2019 (в том числе в Core редакции) уже встроен движок антивируса Windows Defender (Защитник Windows). Вы можете проверить наличие установленного компонента Windows Defender Antivirus с помощью PowerShell:

Get-WindowsFeature | Where-Object {$_. name -like "*defender*"} | ft Name,DisplayName,Installstate

проверить, что движок Microsoft Defender антивируса установлен в Windows Server

Однако в Windows Server 2016 у Windows Defender по-умолчанию нет графического интерфейса управления. Вы можете установить графическую оболочку Windows Defender в Windows Server 2016 через консоль Server Manager (Add Roles and Features -> Features -> Windows Defender Features -> компонент GUI for Windows Defender).

GUI for Windows Defender установка на Windows Server 2016

Установить графический компонент антивируса Windows Defender можно с помощью PowerShell командлета Install-WindowsFeature:

Install-WindowsFeature -Name Windows-Defender-GUI

графический интерфейс Windows-Defender

Для удаления графического консоли Defender используется командлет:
Uninstall-WindowsFeature -Name Windows-Defender-GUI

В Windows Server 2019 графический интерфейс Defender основан на APPX приложении и доступен через меню Windows Security (панель Settings -> Update and Security).

Настройка Windows Defender производится через меню “Virus and threat protection”.

Панель управления Virus and threat protection в Windows Server 2019

Если вы не можете открыть меню настроек Defender, а при запуске апплета Windows Security у вас появляется ошибка “You’ll need a new app to open this windowsdefender”, нужно перерегистрировать APPX приложение с помощью файла манифеста такой командой PowerShell:

Add-AppxPackage -Register -DisableDevelopmentMode "C:WindowsSystemAppsMicrosoft.Windows.SecHealthUI_cw5n1h2txyewyAppXManifest.xml"

Если APPX приложение полностью удалено, можно его восстановить вручную по аналогии с восстановлением приложения Micorosft Store.

Windows Security You’ll need a new app to open this windowsdefender

Удаление антивируса Microsoft Defender в Windows Server 2019 и 2016

В Windows 10 при установке любого стороннего антивируса (Kaspersky, McAfee, Symantec, и т.д.) встроенный антивирус Windows Defender автоматически отключается, однако в Windows Server этого не происходит. Отключать компонент встроенного антивируса нужно вручную (в большинстве случаев не рекомендуется использовать одновременно несколько разных антивирусов на одном компьютере/сервере).

Удалить компонент Windows Defender в Windows Server 2019/2016 можно из графической консоли Server Manager или такой PowerShell командой:

Uninstall-WindowsFeature -Name Windows-Defender

Не удаляйте Windows Defender, если на сервере отсутствует другой антивирус.

Установить службы Windows Defender можно командой:

Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI

Add-WindowsFeature Windows-Defender-Features

Управление Windows Defender с помощью PowerShell

Рассмотрим типовые команды PowerShell, которые можно использовать для управления антивирусом Windows Defender.

Проверить, запущена ли служба Windows Defender Antivirus Service можно с помощью команды PowerShell Get-Service:

Get-Service WinDefend

служба WinDefend (Windows Defender Antivirus Service )

Как вы видите, служба запушена (статус –
Running
).

Текущие настройки и статус Defender можно вывести с помощью командлета:

Get-MpComputerStatus

Get-MpComputerStatus команда проверки состояния антивируса Microosft Defender

Вывод комадлета содержит версию и дату обновления антивирусных баз (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), включенные компоненты антвируса, время последнего сканирования (QuickScanStartTime) и т.д.

Отключить защиту в реальном времени Windows Defender (RealTimeProtectionEnabled) можно с помощью команды:

Set-MpPreference -DisableRealtimeMonitoring $true

После выполнения данной команды, антивирус не будет сканировать на лету все обрабатываемые системой файлы.

Включить защиту в реальном времени:

Set-MpPreference -DisableRealtimeMonitoring $false

Более полный список командлетов PowerShell, которые можно использовать для управления антивирусом есть в статье Управление Windows Defender с помощью PowerShell.

Добавить исключения в антивирусе Windows Defender

В антивирусе Microsoft можно задать список исключений – это имена, расширения файлов, каталоги, которые нужно исключить из автоматической проверки антивирусом Windows Defender.

Особенность Защитника в Windows Server – он автоматически генерируемый список исключений антивируса, который применяется в зависимости от установленных ролей сервера. Например, при установке роли Hyper-V в исключения антивируса добавляются файлы виртуальных и дифференциальных дисков, vhds дисков (*.vhd, *.vhdx, *.avhd), снапшоты и другие файлы виртуальных машин, каталоги и процессы Hyper-V (Vmms.exe, Vmwp.exe)

Если нужно отключить автоматические исключения Microsoft Defender, выполните команду:

Set-MpPreference -DisableAutoExclusions $true

Чтобы вручную добавить определенные каталоги в список исключения антивируса, выполните команду:

Set-MpPreference -ExclusionPath "C:Test", "C:VM", "C:Nano"

Чтобы исключить антивирусную проверку определенных процессов, выполните команду:

Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"

Получаем статус Windows Defender с удаленных компьютеров через PowerShell

Вы можете удаленно опросить состояние Microsoft Defender на удаленных компьютерах с помощью PowerShell. Следующий простой скрипт при помощи командлета Get-ADComputer выберет все Windows Server хосты в домене и через WinRM (командлетом Invoke-Command) получит состояние антивируса, время последнего обновления баз и т.д.

$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderinfo= Invoke-Command $server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled,RealTimeProtectionEnabled,AntivirusSignatureLastUpdated,QuickScanAge,FullScanAge}
If ($defenderinfo) {
$objReport = [PSCustomObject]@{
User = $defenderinfo.PSComputername
Antivirusenabled = $defenderinfo.Antivirusenabled
RealTimeProtectionEnabled = $defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated = $defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge = $defenderinfo.QuickScanAge
FullScanAge = $defenderinfo.FullScanAge
}
$Report += $objReport
}
}
$Report|ft

Опрос состояния Microsoft Defender на серверах Windows Server в домене Active Directory через PowerShell

Для получения информации о срабатываниях антивируса с удаленных компьютеров можно использовать такой PowerShell скрипт:

$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderalerts= Invoke-Command $server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser,ProcessName,InitialDetectionTime ,CleaningActionID,Resources }
If ($defenderalerts) {
foreach ($defenderalert in $defenderalerts) {
$objReport = [PSCustomObject]@{
Computer = $defenderalert.PSComputername
DomainUser = $defenderalert.DomainUser
ProcessName = $defenderalert.ProcessName
InitialDetectionTime = $defenderalert.InitialDetectionTime
CleaningActionID = $defenderalert.CleaningActionID
Resources = $defenderalert.Resources
}
$Report += $objReport
}
}
}
$Report|ft

В отчете видно имя зараженного файла, выполненное действие, пользователь и процесс-владелец.

poweshell скрипт для сбора информации об обнаруженных угрозах Windows Defender с удаленных компьютеров

Обновление антивируса Windows Defender

Антивирус Windows Defender может автоматически обновляться из Интернета с серверов Windows Update. Если в вашей внутренней сети установлен сервер WSUS, антивирус может получать обновления с него. Убедитесь, что установка обновлений одобрена на стороне WSUS сервера (в консоли WSUS обновления антивирусных баз Windows Defender, называются Definition Updates), а клиенты нацелены на нужный сервер WSUS с помощью GPO.

WSUS - Definition Updates

В некоторых случаях, после получения кривого обновления, Защитник Windows может работать некорректно. В этом случае рекомендуется сбросить текущие базы и перекачать их заново:

"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" –SignatureUpdate

Если на сервере нет прямого доступа в Интернет, вы можете настроить обновление Microsoft Defender из сетевой папки.

Скачайте обновления Windows Defender вручную (https://www.microsoft.com/en-us/wdsi/defenderupdates) и помесите в сетевую папку.

Укажите путь к сетевому каталогу с обновлениями в настройках Defender:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \fs01UpdatesDefender

Запустите обновление базы сигнатур:

Update-MpSignature -UpdateSource FileShares

Управление настройками Microsoft Defender Antivirus с помощью GPO

Вы можете управлять основными параметрами Microsoft Defender на компьютерах и серверах домена централизованно с помощью GPO. Для этого используется отдельный раздел групповых политик Computer Configurations -> Administrative Template -> Windows Component -> Windows Defender Antivirus.

В этом разделе доступно более 100 различных параметров для управления настройками Microsoft Defender.

Например, для отключения антивируса Microsoft Defender нужно включить параметр GPO Turn off Windows Defender Antivirus.

Групповые политики для управления антвирусом Microsoft Defender

Более подробно о доступных параметрах групповых политик Defender можно посмотреть здесь https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/use-group-policy-microsoft-defender-antivirus

Централизованное управление Windows Defender доступно через Advanced Threat Protection доступно через портал “Azure Security Center” (ASC) при наличии подписки (около 15$ за сервер в месяц).

  • Remove From My Forums
  • Вопрос

  • I am a test automation developer.

    For some reason, need to stop the Windows Defender Firewall service (mpssvc).

    On the Windows server 2016, 2012R2, 2008R2, the following PowerShell command line works well:

    Restart-Service mpssvc –Force

    But the command line doesn’t work on Windows server 2019, error message like:

    Service 'Windows Defender Firewall (mpssvc)' cannot be stopped due to the following error: Cannot open mpssvc service on computer '.'.

    I tried different approaches, like:

    All of them don’t work, still get the same error.

    • Run command line as administrator
    • Use “SDSET” to change the security descriptor
    • Remove the security key in registry

    Unfortunately, all of them don’t work, still get the same error.

    This problem causes immense hardship to me.

    Any help would be greatly appreciated, thank you!


    • Изменено

      30 мая 2019 г. 10:20

Ответы

  • Hi,

    I believe it’s not possible to stop the Windows Defender Firewall service anymore, this is most likely due to security reasons.

    If you need to stop the Windows Defender Firewall, you would have to completely disable it.

    Best regards,
    Leon


    Blog:
    https://thesystemcenterblog.com
    LinkedIn:

    • Помечено в качестве ответа
      IGabriel
      4 июня 2019 г. 1:40

  • Hi,

    It seems that we can’t stop the service, because all the buttons are grey. 

    I have checked other versions and we can stop the service manually.

    I would suggest you report it to Microsoft via feedback.

    Best regards,

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact
    tnmff@microsoft.com

    • Помечено в качестве ответа
      IGabriel
      4 июня 2019 г. 1:40

  • Thank you for your help!

    The final solution: DO NOT touching the service startup type.


    学习学习….

    • Помечено в качестве ответа
      Travis HuangMicrosoft contingent staff
      4 июня 2019 г. 7:43

  • Remove From My Forums
  • Question

  • I am a test automation developer.

    For some reason, need to stop the Windows Defender Firewall service (mpssvc).

    On the Windows server 2016, 2012R2, 2008R2, the following PowerShell command line works well:

    Restart-Service mpssvc –Force

    But the command line doesn’t work on Windows server 2019, error message like:

    Service 'Windows Defender Firewall (mpssvc)' cannot be stopped due to the following error: Cannot open mpssvc service on computer '.'.

    I tried different approaches, like:

    All of them don’t work, still get the same error.

    • Run command line as administrator
    • Use “SDSET” to change the security descriptor
    • Remove the security key in registry

    Unfortunately, all of them don’t work, still get the same error.

    This problem causes immense hardship to me.

    Any help would be greatly appreciated, thank you!


    • Edited by

      Thursday, May 30, 2019 10:20 AM

Answers

  • Hi,

    I believe it’s not possible to stop the Windows Defender Firewall service anymore, this is most likely due to security reasons.

    If you need to stop the Windows Defender Firewall, you would have to completely disable it.

    Best regards,
    Leon


    Blog:
    https://thesystemcenterblog.com
    LinkedIn:

    • Marked as answer by
      IGabriel
      Tuesday, June 4, 2019 1:40 AM

  • Hi,

    It seems that we can’t stop the service, because all the buttons are grey. 

    I have checked other versions and we can stop the service manually.

    I would suggest you report it to Microsoft via feedback.

    Best regards,

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact
    tnmff@microsoft.com

    • Marked as answer by
      IGabriel
      Tuesday, June 4, 2019 1:40 AM

  • Thank you for your help!

    The final solution: DO NOT touching the service startup type.


    学习学习….

    • Marked as answer by
      Travis HuangMicrosoft contingent staff
      Tuesday, June 4, 2019 7:43 AM

  • Remove From My Forums
  • Question

  • I am a test automation developer.

    For some reason, need to stop the Windows Defender Firewall service (mpssvc).

    On the Windows server 2016, 2012R2, 2008R2, the following PowerShell command line works well:

    Restart-Service mpssvc –Force

    But the command line doesn’t work on Windows server 2019, error message like:

    Service 'Windows Defender Firewall (mpssvc)' cannot be stopped due to the following error: Cannot open mpssvc service on computer '.'.

    I tried different approaches, like:

    All of them don’t work, still get the same error.

    • Run command line as administrator
    • Use “SDSET” to change the security descriptor
    • Remove the security key in registry

    Unfortunately, all of them don’t work, still get the same error.

    This problem causes immense hardship to me.

    Any help would be greatly appreciated, thank you!


    • Edited by

      Thursday, May 30, 2019 10:20 AM

Answers

  • Hi,

    I believe it’s not possible to stop the Windows Defender Firewall service anymore, this is most likely due to security reasons.

    If you need to stop the Windows Defender Firewall, you would have to completely disable it.

    Best regards,
    Leon


    Blog:
    https://thesystemcenterblog.com
    LinkedIn:

    • Marked as answer by
      IGabriel
      Tuesday, June 4, 2019 1:40 AM

  • Hi,

    It seems that we can’t stop the service, because all the buttons are grey. 

    I have checked other versions and we can stop the service manually.

    I would suggest you report it to Microsoft via feedback.

    Best regards,

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact
    tnmff@microsoft.com

    • Marked as answer by
      IGabriel
      Tuesday, June 4, 2019 1:40 AM

  • Thank you for your help!

    The final solution: DO NOT touching the service startup type.


    学习学习….

    • Marked as answer by
      Travis HuangMicrosoft contingent staff
      Tuesday, June 4, 2019 7:43 AM

Windows Defender Antivirus is Microsoft’s free built-in antivirus that comes installed by default on Windows Server 2016 and 2019 (since Windows 10 2004 the name Microsoft Defender is used). In this article we’ll look at the features of Windows Defender on Windows Server 2019/2016.

Contents:

  • Enable Windows Defender GUI on Windows Server
  • How to Uninstall Windows Defender Antivirus on Windows Server 2019 and 2016?
  • Managing Windows Defender Antivirus with PowerShell
  • How to Exclude Files and Folder from Windows Defender Antivirus Scans?
  • Get Windows Defender Status Reports from Remote Computers via PowerShell
  • Updating Windows Defender Antivirus Definitions
  • Configure Windows Defender Using Group Policy

Enable Windows Defender GUI on Windows Server

Windows Server 2016 and 2019 (including the Core edition) have the Windows Defender Antivirus engine built in. You can check if Windows Defender Antivirus is installed using PowerShell:

Get-WindowsFeature | Where-Object {$_. name -like "*defender*"} | ft Name,DisplayName,Installstate

Checking if Windows Defender antivirus is installed on Windows Server 2019

However, there is no Windows Defender Antivirus GUI in Windows Server 2016 by default. You can install the Windows Defender graphical interface on Windows Server 2016 through the Server Manager console (Add Roles and Features -> Features -> Windows Defender Features -> GUI for Windows Defender feature).

Install Windows feature - GUI for Windows Defender

Or, you can enable the Windows Defender antivirus GUI using PowerShell:

Install-WindowsFeature -Name Windows-Defender-GUI

Windows Defender GUI on WIndows Server 2016

To uninstall the Defender GUI, the following PowerShell command is used:

Uninstall-WindowsFeature -Name Windows-Defender-GUI

In Windows Server 2019, the Defender GUI is based on the APPX application and is accessible through the Windows Security app (Settings -> Update and Security ).

Windows Defender is configured through the “Virus and threat protection” menu.

Windows Defender GUI - virus and threat protection on Windows Server 2019

If you cannot open the Defender settings menu, and when you run the Windows Security applet you get the error “You’ll need a new app to open this windowsdefender”, you need to re-register the APPX application using the manifest file with the following PowerShell command:

Add-AppxPackage -Register -DisableDevelopmentMode "C:WindowsSystemAppsMicrosoft.Windows.SecHealthUI_cw5n1h2txyewyAppXManifest.xml"

If the UWP (APPX) app is completely removed, you can restore it manually, similar to restoring the Microsoft Store application.

Microsoft Defender error on WIndows Server - You’ll need a new app to open this windowsdefender

How to Uninstall Windows Defender Antivirus on Windows Server 2019 and 2016?

In Windows 10, when you install any third-party antivirus (McAfee, Norton, Avast, Kaspersky, Symantec, etc.), the built-in Windows Defender antivirus is disabled. However, it doesn’t happen in Windows Server. You have to disable the built-in antivirus engine manually (in most cases, it is not recommended to use several antivirus programs at a time on one computer or server).

You can uninstall Windows Defender in Windows Server 2019/2016 using Server Manager or with the following PowerShell command:

Uninstall-WindowsFeature -Name Windows-Defender

Do not uninstall Windows Defender if there is no other antivirus on the server.

You can install Windows Defender services with the command:

Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI

Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI

Managing Windows Defender Antivirus with PowerShell

Let’s consider typical PowerShell commands that you can use to manage Windows Defender Antivirus.

You can make sure if Windows Defender Antivirus service is running using this PowerShell command:

Get-Service WinDefend

Get-Service WinDefend - get service status

As you can see, the service is started (Status – Running)

You can display the current status and settings of Defender using the following cmdlet:

Get-MpComputerStatus

Get-MpComputerStatus reporting Windows Defender Antivirus stae with PowerShell

The cmdlet displays the version and the date of the latest antivirus database update (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), enabled antivirus components, the time of the last scan (QuickScanStartTime), etc.

You can disable Windows Defender real time protection as follows:

Set-MpPreference -DisableRealtimeMonitoring $true

After executing this command, the antivirus will not scan in real time all files that are opened by the operating system or users.

Here’s how you can enable real-time antivirus protection:

Set-MpPreference -DisableRealtimeMonitoring $false

For example, you need to enable scanning for external USB storage devices. Get the current settings with command:

Get-MpPreference | fl disable*

If the USB drive scanning is disabled (DisableRemovableDriveScanning = True), you can enable the scan using the command:

Set-MpPreference -DisableRemovableDriveScanning $false

A complete list of PowerShell cmdlets in the Windows Defender module can be displayed with the command:

Get-Command -Module Defender

How to Exclude Files and Folder from Windows Defender Antivirus Scans?

You can set the list of exclusions – these are names, file extensions, directories to be excluded from the automatic Windows Defender Antivirus scan. The peculiarity of Windows Defender in Windows Server 2019/2016 is the automatically generated list of exclusions applied depending on the installed Windows Server roles and features.

For example, if the Hyper-V role is installed, the following object will be added to the Defender exclusion list: virtual and differencing disks, VHDS disks (*.vhd, *.vhdx, *.avhd), snapshots, Hyper-V folders and processes (Vmms. exe, Vmwp.exe).

If you want to disable Microsoft Defender automatic exclusions on Windows Server, run the command:

Set-MpPreference -DisableAutoExclusions $true

To add the specific directories to the antivirus exclusion list manually, run this command:

Set-MpPreference -ExclusionPath "C:ISO", "C:VM", "C:Nano"

To exclude antivirus scanning of certain processes use the following command:

Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"

Get Windows Defender Status Reports from Remote Computers via PowerShell

You can get the Microsoft Defender Antivirus status from remote computers using PowerShell. The following simple script will find all Windows Server hosts in the AD domain and get the Defender state through WinRM (using the Invoke-Command cmdlet):

$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderinfo= Invoke-Command $server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled,RealTimeProtectionEnabled,AntivirusSignatureLastUpdated,QuickScanAge,FullScanAge}
If ($defenderinfo) {
$objReport = [PSCustomObject]@{
User = $defenderinfo.PSComputername
Antivirusenabled = $defenderinfo.Antivirusenabled
RealTimeProtectionEnabled = $defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated = $defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge = $defenderinfo.QuickScanAge
FullScanAge = $defenderinfo.FullScanAge
}
$Report += $objReport
}
}
$Report|ft

check windows defender antivirus status remotely using powershell

To get information about antivirus detections, you can use the following PowerShell script:

$Report = @()
$servers = Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderalerts= Invoke-Command $server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser,ProcessName,InitialDetectionTime ,CleaningActionID,Resources }
If ($defenderalerts) {
foreach ($defenderalert in $defenderalerts) {
$objReport = [PSCustomObject]@{
Computer = $defenderalert.PSComputername
DomainUser = $defenderalert.DomainUser
ProcessName = $defenderalert.ProcessName
InitialDetectionTime = $defenderalert.InitialDetectionTime
CleaningActionID = $defenderalert.CleaningActionID
Resources = $defenderalert.Resources
}
$Report += $objReport
}
}
}
$Report|ft

The report shows the name of the infected file, the action performed, the user, and the owner process.

check windows defender detection history on remote computers

Updating Windows Defender Antivirus Definitions

Windows Defender Antivirus can automatically update online from Windows Update servers. If there is an internal WSUS server in your network, the Microsoft antivirus can receive updates from it. You just need to make sure that the installation of updates has been approved on your WSUS server (Windows Defender Antivirus updates are called Definition Updates in the WSUS console), and clients are targeted to the correct WSUS server using GPO.

Windows Defender Definition Updates on wsus

In some cases, Windows Defender may work incorrectly after getting a broken update. Then it is recommended to reset current definitions database and download them again:

"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" –SignatureUpdate

If your Windows Server does not have direct access to the Internet, you can update Microsoft Defender from a network folder.

Download Windows Defender updates manually (https://www.microsoft.com/en-us/wdsi/defenderupdates) and place them to a shared network folder. Set the path to the shared folder with Defender updates:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \mun-fs01Defender

Run the antivirus definition update:

Update-MpSignature -UpdateSource FileShares

Configure Windows Defender Using Group Policy

You can manage basic Microsoft Defender settings on computers and servers using Group Policy. Use the following GPO section: Computer Configurations -> Administrative Template -> Windows Component -> Windows Defender Antivirus.

This section provides over 100 different options for managing Microsoft Defender settings.

For example, to completely disable your antivirus, you must enable the GPO parameter “Turn off Windows Defender Antivirus”.

Windows Defender Antivirus GPO

More information on the available Defender Group Policy settings can be found here. https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/use-group-policy-microsoft-defender-antivirus

Windows Defender centralized management is available via the Advanced Threat Protection on the Azure Security Center (ASC) portal with a paid subscription (about $15 per host/month).

Понравилась статья? Поделить с друзьями:
  • Windows defender как отключить windows 10 корпоративная
  • Windows defender как отключить windows 10 powershell
  • Windows defender как отключить windows 10 64 bit
  • Windows defender как отключить windows 10 20h2
  • Windows defender как отключить windows 10 2022