Windows server 2012 r2 отключить защитник windows

Обновлено 17.03.2019

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. Не так давно мы с вами установили Windows Server 2019 и произвели его базовую настройку. Развернули на сервере разные сервисы и запустили его в производственную среду. Идет время и на нем появляется проблема, что встроенный антивирус защитник Windows он же Windows Defender, начинает потреблять очень много процессорных мощностей и было принято решение его удалить. Или же у вас есть желание установить другой антивирус, а защитник Windows не отключать, а удалить совсем, как это сделать. Именно этот момент мы и разберем сегодня в данной заметке.

Можно ли полностью удалить Защитник Windows?

И так, как я и писал выше, мой Windows Defender на 2019 сервере стал кушать много CPU, примерно 25%, нечто подобное я уже видел на сервере печати, где процесс «Print Filter Pipeline Host » на 100% использовал процессор или же недавний пример с процессом Wmiprvse.exe. Пример такого поведения в Windows Server предостаточно, было принято решение отключить защитника, как службу да и еще к тому же установить сторонний антивирус Касперского, так сказать убить два зайца сразу. И какого же было мое удивление, когда я начал искать информацию об отключении Windows Defener, что в Windows Server 2016 и 2019, его можно удалить, как обычный компонент. Это правильнее, так как в системе становится меньше служб и меньше нужно обновлять ее, короче одни плюсы.

Методы удаления Windows Defender

Хоть разработчики и обошли данной возможностью Windows 10, но в Windows Server 2016 и 2019 она есть и вы полностью можете убрать из них защитник. Сделать это можно тремя методами:

• Используя оснастку «Диспетчер серверов»
• Оболочку PowerShell
• Через Windows Admin Center

Что конкретно мы деинсталлируем данными методами. Откройте через пуск «Параметры Windows», или просто нажмите сочетание клавиш WIN+I. Перейдите в раздел «Обновление и безопасность».

Находим пункт «Безопасность Windows» и нажимаем «Открыть службу безопасность Windows».

У вас откроется Windows Defender, в котором можно управлять четырьмя пунктами:

1. Защита от вирусов и угроз
2. Брандмауэр и безопасность сети
3. Управление приложениями/браузер
4. Безопасность устройств

Если посмотреть службы в Windows Server 2019, то вы обнаружите вот такие две:

• Антивирусная программа «Защитник Windows»
• Брандмауэр Защитника Windows

Удаление защитника Windows через диспетчер серверов

Оснастка «Диспетчер серверов» или ServerManager.exe, это основной инструмент администрирования серверов, начиная с Windows Server 2012 R2, который плотно вошел в инструменты системного администратора. Открываем ее и переходим в пункт «Управление — Удаление роли или компоненты».

Выбираем сервер с которого мы планируем полностью удалить защитник Windows. Напоминаю, что «Диспетчер серверов» может управлять и удаленным сервером или целым пулом серверов. В моем примере я выберу свой локальный сервер, на котором я устанавливал WDS роль.

Пропускаем окно со списком ролей Windows Server 2019

Снимаем галку «Windows Defender Antivirus», это позволит его полностью удалить с сервера. Нажимаем далее.

Нажимаем кнопку «Удалить». Сам процесс занимает около минуты.

После удаления компонента, нужна обязательная перезагрузка сервера. Выполните ее, когда у вас будет возможность, но лучше не затягивать, сервера начинают тупить в таком состоянии ожидания.

Все, теперь после перезагрузки защитник windows удален с сервера. Можете это проверить. Откройте пункт «Безопасность Windows» и убедитесь, что там пропал пункт «Защита от вирусов и угроз»

Как удалить защитник виндовс через PowerShell

Windows PowerShell, не зря называют мощным средством по управлению серверов, его возможности практически бесконечны. Полностью удалить защитник в Windows Server 2019, можно специальным командлетом. Для этого для начала проверьте состояние службы и есть ли у вас вообще в системе Windows Defender. Для этого в командной строке введите команду:

Как видите состояние у Windefend «RUNNING», что означает, что она запущена.

Можно посмотреть ее состояние и через оснастку PowerShell, лучше ее открыть от имени администратора. Введите команду:

Чтобы полностью удалить защитник виндовс, вам необходимо в PowerShell ввести вот такую команду:

Начнется процесс деинсталляции компонента Windows Server 2019, вы будите видеть шкалу прогресса.

Вы увидите сообщение, что служба Windows Defender Antivirus успешно удалена, и чтобы завершить удаление, вам необходимо перезапустить этот сервер.

Как удалить защитник windows через Windows Admin Center

Напоминаю, что Windows Admin Center — это новый инструмент управления серверами, локальными и удаленными, из браузера. Он легко может удалять компоненты, в нашем случае Windows Defender. Открываем его и переходим пункт «Роли и компоненты», находим «Windows Defender Antivirus» и удаляем его.

Появится всплывающее окно, где будут проверенны зависимости, если их нет, нажмите кнопку «Да», чтобы запустить процесс деинсталляции.

В оповещениях вы можете следить за процессом удаления, после чего вам потребуется перезагрузка.

В итоге мы рассмотрели с вами три метода, как полностью удалить защитник виндовс (Windows Defender Antivirus). Вы могли заметить, что это очень просто. Если у вас остались ко мне вопросы, то жду их в комментариях. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org,

Начиная с Windows 8 продукт Windows Defender (Защитник Windows) получил функционал Microsoft Security Essentials и из
простейшего сканера шпионских программ теперь стал полнофункциональным антивирусным решением, способным обнаруживать
широкий спектр потенциально вредоносного ПО.

Поставляется бесплатно, функционирует как служба и обеспечивает проверку до входа пользователя в систему, а поэтому он
интересен не только для персонального применения, но и для организаций, которые по тем или иным причинам не могут
внедрить System Center 2012 Endpoint Protection или другие антивирусные решения.

На данный момент Windows Defender входит в состав клиентских версий ОС и Windows Server 2012 R2 в варианте установки
Server Core и включен по умолчанию (https://technet.microsoft.com/en-us/library/b92b04bc-95db-4732-b4ec-d35b3f639275#BKMK_WindowsDefender).
Это удобно, так как эти системы защищены сразу после установки. В недавно появившейся бета-версии Windows Server его
можно установить как компонент (Install-WindowsFeature-Name Windows-Server-Antimalware).

Проверить статус работы службы можно, введя sc query Windefend.

Кроме GUI, настройки Windows Defender устанавливаются с помощью групповых политик (Computer Configuration — Admin
Templates — Windows Components — Windows Defender). Кроме этого, в PowerShell 4.0 появился модуль Defender, состоящий из
11 командлетов (
https://technet.microsoft.com/en-us/library/dn433280.aspx). Просмотреть их список можно, введя комманду:

PS> Get-Command -Module Defender

Командлеты Get-MpComputerStatus и Get-MpPreference выводят данные о состоянии антивируса – версии антивируса и баз,
включенные параметры, расписание, дату проверки и так далее. Все командлеты могут выполняться как локально, так и
удаленно.

PS> $session = NewCimSession -ComputerName comp1
PS> Get-MpComputerStatus -CimSession $session

В настройках по умолчанию отключены IPS, проверка съемных дисков, email и некоторые другие. Для установки параметров
используется командлет Set-MpPreference. Например, чтобы включить проверку внешних носителей, установим
DisableRemovableDriveScanning в false (по умолчанию true):

PS> Set-MpPreference -DisableRemovableDriveScanning $false

Два командлета Add-MpPreference и Remove-MpPreference позволяют добавлять и удалять параметры. Наиболее часто они
используются, чтобы исключить каталоги, процессы и файлы с определенным расширением из проверки. Например, исключим
сканирование каталога с временными файлами:

PS> Add-MpPreference -ExclusionPath C:Temp

Для обновления баз следует применять командлет Update-MpSignature, по умолчанию используются настройки компьютера, но
с помощью дополнительных параметров можно указать другие источники (сервер WSUS, сервер обновлений Microsoft, MMPC или
каталог). В случае применения для обновлений каталога следует скачать обновления с Microsoft Malware Protection Center
(http://www.microsoft.com/security/portal/mmpc)
и положить в папку, на которую указать с помощью SignatureDefinitionUpdateFileSharesSources:

PS> Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \serverupdate
PS> Update-MpSignature -UpdateSource FileShares

Запуск сканирования осуществляется командлетом Start-MpScan, по умолчанию производится т.н. быстрая проверка только
критически важных файлов. Тип проверки можем изменить с помощью параметра ScanType — FullScan, QuickScan или СustomScan.

PS> Start-MpScan -ScanType FullScan

Два параметра – Get-MpThreat и Get-MpThreatDetection – позволяют просмотреть информацию по угрозам, обнаруженным на
компьютере. Командлет Remove-MpThreat позволяет удалить активные угрозы:

PS> Get-MpThreat
PS> Remove-MpThreat

Список известных Windows Defender угроз выводит Get-MpThreatCatalog.

PS> Get-MpThreatCatalog | select SeverityID, ThreatName

Используйте параметры групповой политики для настройки и управления антивирусная программа в Microsoft Defender

Область применения:

Групповая политика может настраивать и управлять антивирусная программа в Microsoft Defender конечными точками.

Настройка антивирусная программа в Microsoft Defender с помощью групповой политики

В общем, вы можете использовать следующую процедуру для настройки или изменения параметров антивирусная программа в Microsoft Defender групповой политики:

С помощью редактора управления групповой политикой перейдите к конфигурации компьютера.

Щелкните административные шаблоны.

Расширь дерево, Windows компоненты > антивирусная программа в Microsoft Defender.

Расширь раздел (который называется Расположение в таблице в этом разделе), содержащий параметр, который необходимо настроить, дважды щелкните параметр, чтобы открыть его, и внести изменения в конфигурацию.

Параметры и ресурсы групповой политики

В следующей таблице в этом разделе перечислены параметры групповой политики, доступные в Windows 10 версии 1703, а также ссылки на соответствующую тему в этой библиотеке документации (где это применимо).

Скачайте таблицу Параметры групповой политики для обновления Windows 10 мая 2020 г. (2004 г.). В этой электронной таблице перечислены параметры политики для компьютеров и конфигураций пользователей, включенных в файлы административных шаблонов, доставленные с обновлением за Windows 10 мая 2020 г. (2004 г.). Можно настроить ссылку на таблицу при редактировании объектов групповой политики.

Источник

Use Group Policy settings to configure and manage Microsoft Defender Antivirus

Applies to:

You can use Group Policy to configure and manage Microsoft Defender Antivirus on your endpoints.

Configure Microsoft Defender Antivirus using Group Policy

In general, you can use the following procedure to configure or change Microsoft Defender Antivirus group policy settings:

On your Group Policy management machine, open the Group Policy Management Console, right-click the Group Policy Object (GPO) you want to configure and click Edit.

Using the Group Policy Management Editor go to Computer configuration.

Click Administrative templates.

Expand the tree to Windows components > Microsoft Defender Antivirus.

Expand the section (referred to as Location in the table in this topic) that contains the setting you want to configure, double-click the setting to open it, and make configuration changes.

Group Policy settings and resources

The following table in this topic lists the Group Policy settings available in Windows 10, version 1703, and provides links to the appropriate topic in this documentation library (where applicable).

Download the Group Policy Settings Reference Spreadsheet for Windows 10 May 2020 Update (2004). This spreadsheet lists the policy settings for computer and user configurations that are included in the Administrative template files delivered with for Windows 10 May 2020 Update (2004). You can configure refer to the spreadsheet when you edit Group Policy Objects.

Источник

Как отключить Защитник Windows с помощью GPO

Редактор групповых политик является компонентом Windows 10 Pro и Enterprise (Корпоративная). Для отключения Защитника Windows нужно выполнить следующие шаги:

Нажмите иконку Поиск (или клавишу Windows) и введите gpedit.msc, затем нажмите клавиша ввода Enter. При необходимости подтвердите запрос службы контроля учетных записей для запуска редактора групповых политик.
Вы найдете нужный параметр по следующему пути Политика

“Локальный компьютер” > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows”.

Затем перейдите по следующему пути Политика

“Локальный компьютер” > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Защита в режиме реального времени.

В правой части окна выберите политику Включить наблюдение за поведением.
В открывшемся окне установите состояние политики на «Отключено» и примените изменение, затем нажмите ОК.
Находясь в разделе “Защита в режиме реального времени” выберите политику Отслеживать активность программ и файлов на компьютере.
В открывшемся окне установите состояние политики на «Отключено» и примените изменение, затем нажмите ОК.
Находясь в разделе “Защита в режиме реального времени” выберите политику Включить проверку процессов, если включена защита реального времени.
В открывшемся окне установите состояние политики на «Отключено» и примените изменение, затем нажмите ОК.
Находясь в разделе Защита в режиме реального времени” выберите политику Проверять все загруженные файлы и вложения.
В открывшемся окне установите состояние политики на «Отключено» и примените изменение, затем нажмите ОК.
Перезагрузите компьютер
После завершения данных шагов и перезагрузки ПК Защитник Windows больше не будет сканировать и обнаруживать вредоносные программы.

В любое время вы можете снова включить антивирусную программу “Защитник Windows” — для этого выполните предыдущие шаги указав значение “Не задано”.

Как отключить Защитник Windows с помощью системного реестра

Редактор групповых политик недоступен в Windows 10 Домашняя, но вы можете сделать то же самое с помощью редактора реестра.

Примечание: Некорректное изменение реестра может привести к серьезным проблемам. Рекомендуется создать резервную копию реестра Windows перед тем, как выполнить данные шаги. В меню редактора реестра выберите Файл > Экспорт для сохранения резервной копии.

Нажмите иконку Поиск (или клавишу Windows) и regedit, затем нажмите клавиша ввода Enter. При необходимости подтвердите запрос службы контроля учетных записей для запуска редактора групповых политик. Перейдите по следующему пути

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender

Щелкните правой кнопкой мыши по папке “Windows Defender”, выберите Создать > Параметр DWORD (32 бита).
Назовите параметр DisableAntiSpyware и нажмите Enter.
Щелкните дважды по созданному ключу и установите значение от 1, затем нажмите ОК.

Щелкните правой кнопкой мыши по папке “Windows Defender”, выберите Создать > Раздел.
Назовите раздел Real-Time Protection и нажмите Enter.

Щелкните правой кнопкой мыши по папке “Real-Time Protection”, выберите Создать > Параметр DWORD (32 бита) и создайте следующие параметры:

Назовите параметр DisableBehaviorMonitoring и нажмите Enter. Щелкните дважды по созданному ключу и установите значение 1, затем нажмите ОК.
Назовите параметр DisableOnAccessProtection и установите значение 1, затем нажмите ОК.
Назовите параметр DisableScanOnRealtimeEnable и нажмите Enter. Щелкните дважды по созданному ключу и установите значение 1, затем нажмите ОК.
Назовите параметр DisableIOAVProtection и нажмите Enter. Щелкните дважды по созданному ключу и установите значение 1, затем нажмите ОК.
После завершения данных шагов и перезагрузки ПК Защитник Windows больше не будет сканировать и обнаруживать вредоносные программы.

В любое время вы можете снова включить антивирусную программу “Защитник Windows”. Для этого нужно удалить ключ DisableAntiSpyware. Затем нужно удалить раздел “Real-Time Protection” и все его содержимое, после чего потребуется перезагрузка компьютера.

Источник

Настройка антивирусная программа в Microsoft Defender исключений на Windows Server

Область применения:

антивирусная программа в Microsoft Defender на Windows Server 2016 и Windows Server 2019 автоматически регистрируется в определенных исключениях, определенных указанной ролью сервера. Эти исключения не отображаются в стандартных списках исключений, которые отображаются в Безопасность Windows приложении.

Автоматические исключения применяются только к проверке защиты в режиме реального времени (RTP). Автоматические исключения не будут соблюдаться во время проверки full/quick или on-demand.

Помимо автоматических исключений, определенных ролью сервера, можно добавить или удалить настраиваемые исключения. Для этого обратитесь к этим статьям:

Несколько моментов, которые необходимо иметь в виду

Имейте в виду следующие важные моменты:

В этой статье представлен обзор исключений для антивирусная программа в Microsoft Defender на Windows Server 2016 или более поздней части.

Поскольку антивирусная программа в Microsoft Defender встроена в Windows Server 2016, исключения для файлов операционной системы и ролей сервера происходят автоматически. Однако можно определить настраиваемые исключения. При необходимости можно также отказаться от автоматических исключений.

В статье содержатся следующие разделы:

Имейте в виду следующие моменты:

Автоматические исключения на Windows Server 2016 или более поздней

Автоматические исключения применяются только к проверке защиты в режиме реального времени (RTP). Автоматические исключения не будут соблюдаться во время полного сканирования, быстрого сканирования или проверки по запросу.

В Windows Server 2016 или позже не следует определять следующие исключения:

Поскольку антивирусная программа в Microsoft Defender встроена, для файлов операционной системы не требуется Windows Server 2016 или более поздней основе. Кроме того, при Windows Server 2016 или более поздней установке роли антивирусная программа в Microsoft Defender автоматические исключения для роли сервера и любые файлы, добавленные при установке роли.

Исключения операционной системы и исключения роли сервера не отображаются в стандартных списках исключений, которые отображаются в Безопасность Windows приложении.

Автоматические исключения для ролей сервера и файлов операционной системы не применяются к Windows Server 2012 или Windows Server 2012 R2.

Список автоматических исключений

В следующих разделах содержатся исключения, доставляемые с автоматическими путями файлов исключений и типами файлов.

Исключения по умолчанию для всех ролей

В этом разделе перечислены исключения по умолчанию для всех ролей в Windows Server 2016, Windows Server 2019 и Windows Server 2022.

Расположение по умолчанию может быть иным, чем то, что указано в этой статье.

Windows Файлы «temp.edb»

Windows Файлы обновления или файлы автоматического обновления

Безопасность Windows файлы

Файлы групповой политики

WINS files

Исключения службы репликации файлов (FRS)

Файлы в рабочей папке службы репликации файлов (FRS). Рабочая папка FRS указана в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNtFrsParametersWorking Directory

Файлы журналов баз данных FRS. Папка файлов журнала данных FRS задана в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNtfrsParametersDB Log File Directory

Папка постановок FRS. Папка постановки указана в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNtFrsParametersReplica SetsGUIDReplica Set Stage

Папка preinstall FRS. Эта папка указана в папке Replica_rootDO_NOT_REMOVE_NtFrs_PreInstall_Directory

База данных репликации распределенной файловой системы (DFSR) и рабочие папки. Эти папки указаны ключом реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDFSRParametersReplication GroupsGUIDReplica Set Configuration File

Исключения для процессов

Hyper-V исключений

В следующей таблице перечислены исключения типа файлов, исключения папок и исключения процессов, которые автоматически доставляются при установке Hyper-V роли.

Файлы SYSVOL

Исключения Active Directory

В этом разделе перечислены исключения, которые доставляются автоматически при установке служб домена Active Directory (AD DS).

Файлы баз данных NTDS

Файлы базы данных указаны в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParametersDSA Database File

Файлы журнала транзакций AD DS

Файлы журнала транзакций указаны в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParametersDatabase Log Files Path

Рабочая папка NTDS

Эта папка указана в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParametersDSA Working Directory

Исключения процесса для файлов поддержки AD DS и AD DS

Исключения DHCP Server

В этом разделе перечислены исключения, которые доставляются автоматически при установке роли DHCP Server. Расположения файлов DHCP Server указаны параметрами DatabasePath, DhcpLogFilePath и BackupDatabasePath в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDHCPServerParameters

Исключения DNS Server

В этом разделе перечислены исключения файлов и папок, а также исключения процессов, которые доставляются автоматически при установке роли DNS Server.

Исключения файлов и папок для роли DNS Server

Исключения процесса для роли DNS Server

Исключения файлов и служба хранилища служб

В этом разделе перечислены исключения файлов и папок, которые доставляются автоматически при установке роли File и служба хранилища Services. Перечисленные ниже исключения не содержат исключений для роли Кластеризация.

Исключения print Server

В этом разделе перечислены исключения типа файлов, исключения папок и исключения процессов, которые доставляются автоматически при установке роли Print Server.

Исключения типа файлов

Исключения папок

Эта папка указана в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPrintPrintersDefaultSpoolDirectory

Исключения для процессов

Исключения веб-сервера

В этом разделе перечислены исключения папок и исключения процессов, которые доставляются автоматически при установке роли веб-сервера.

Исключения папок

Process exclusions

Отключение сканирования файлов в папке SysvolSysvol или папке SYSVOL_DFSRSysvol

Текущее расположение папки и всех подмостков — это цель репараса файловой системы корневого SysvolSysvol SYSVOL_DFSRSysvol набора реплики. В папках по умолчанию SysvolSysvol используются следующие SYSVOL_DFSRSysvol расположения:

Путь к активному в настоящее время ссылается на долю NETLOGON и может быть определен именем SYSVOL значения SysVol в следующем подкайке: HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNetlogonParameters

Исключите следующие файлы из этой папки и всех ее подвещений:

Windows Server Update Services исключений

В этом разделе перечислены исключения папок, которые доставляются автоматически при установке роли Windows Server Update Services (WSUS). Папка WSUS указана в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftUpdate ServicesServerSetup

Отказ от автоматических исключений

В Windows Server 2016 и более поздних версиях предопределяние исключений, доставленных обновлениями разведки безопасности, исключают только пути по умолчанию для роли или функции. Если вы установили роль или функцию на настраиваемом пути или хотите вручную управлять набором исключений, не забудьте отказаться от автоматических исключений, доставленных в обновлениях разведки безопасности. Но имейте в виду, что исключения, которые доставляются автоматически, оптимизированы для Windows Server 2016 и более поздней. См. Рекомендации для определения исключений перед определением списков исключений.

Отказ от автоматических исключений может отрицательно сказаться на производительности или привести к повреждениям данных. Автоматически доставляемые исключения оптимизируются для ролей Windows Server 2016, Windows Server 2019 и Windows Server 2022.

Так как предопределенные исключения исключают только пути по умолчанию, если вы перемещаете папки NTDS и SYSVOL на другой диск или путь, который отличается от исходного пути, необходимо добавить исключения вручную. См. в руб. Настройка списка исключений на основе имени папки или расширения файла.

Автоматические списки исключений можно отключить с помощью групп Политик, PowerShell и WMI.

Использование групповой политики для отключения списка автоматических исключений в Windows Server 2016, Windows Server 2019 и Windows Server 2022

На компьютере управления групповыми политиками откройте консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповой политики, который необходимо настроить, а затем выберите Изменить.

В редакторе управления групповой политикой перейдите к конфигурации компьютера, а затем выберите административные шаблоны.

Расширь дерево до Windows компонентов > антивирусная программа в Microsoft Defender > исключений.

Дважды щелкните Кнопку Отключение автоматических исключений и установите параметр Включено. После этого нажмите кнопку ОК.

Чтобы отключить список автоматических исключений на Windows Server, используйте cmdlets PowerShell

Используйте следующие cmdlets:

Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.

Использование Windows управления (WMI) для отключения списка автоматических исключений на Windows Server

Используйте метод Set класса MSFT_MpPreference для следующих свойств:

Дополнительные сведения и допустимые параметры см. в следующих сведениях:

Определение пользовательских исключений

При необходимости можно добавить или удалить настраиваемые исключения. Для этого см. в следующих статьях:

Источник

Усиливаем защиту Windows с помощью GPO Microsoft Security Baseline

В Microsoft Security Baseline содержатся рекомендованные настройки, которые Microsoft предлагает использовать на рабочих станциях и серверах Windows для обеспечения безопасной конфигурации для защиты контролеров домена, рядовых серверов, компьютеров и пользователей. На основе Microsoft Security Baseline разработаны эталонные групповые политики (GPO), которые администраторы могут использовать в своих доменах AD. Настройки безопасности в групповых политиках Microsoft Security Baseline позволяют администраторам обеспечить уровень защиты корпоративной инфраструктуры Windows, соответствующий актуальным мировым стандартам. В этой статье мы покажем, как внедрить групповые политики на основе Microsoft Security Baseline в вашем домене.

Эталонные политики Microsoft Security Baseline входят в состав продукта Microsoft Security Compliance Manager (SCM). SCM это бесплатный продукт, в который входит несколько инструментов для анализа, тестирование и применения лучших и актуальных рекомендаций безопасности для Windows и других продуктов Microsoft.

Microsoft Security Compliance Toolkit доступен по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319. На данный момент в Security Compliance Toolkit доступны Baseline для следующих продуктов:

Также можно скачать утилиты:

Архив с Security Baseline для каждой версии Windows содержит несколько папок:

Есть шаблоны GPO Security Baseline для различных элементов инфраструктуры Windows: политики для компьютеров, пользователей, доменных серверов, контроллеров домена (есть отдельная политика для виртуальных DC), настройки Internet Explorer, BitLocker, Credential Guard, Windows Defender Antivirus. В папке GPOs хранятся готовые GPO политики для различных сценариев использования Windows (далее перечислен список GPO для Windows Server 2019 и Windows 10 1909):

Распакуйте архив с версией Security Baseline для нужной версии Windows и запустите консоль управления доменными групповыми политиками Group Policy Management (gpmc.msc).

Чтобы применить данную политику только для компьютеров с нужной версией Windows, нужно использовать WMI фильтры GPO. Например, для Windows 10 2004 можно использовать такой WMI фильтр:

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE «10.0.19041%» and ProductType = «1»

Примените данный фильтр к вашей политике.

Перед применением Security Baseline на компьютеры пользователей, нужно внимательно проверить предлагаемые настройки и сначала применить на OU с тестовыми пользователями или компьютерами. При необходимости, вы можете в политике отключить некоторые настройки, которые предлагаются в Security Baseline.Только после успешного испытания настроек Security Baseline на тестовых компьютерах можно применять настройки для всех компьютеров/серверов в домене.

В Security Baseline содержаться десятки и сотни настроек. Рассмотреть их все в рамках одной статье довольно сложно. Рассмотрим настройки безопасности, которые так или иначе мы рассматривали в рамках других статей сайта:

Источник