Obranca systému Windows prvýkrát sa objavil ako antivírusový program od MS v systéme Windows XP a od systému Windows Vista je neustále prítomný v operačných systémoch Windows ako zabudovaný nástroj na ochranu pred škodlivým softvérom. V systéme Windows 8 sa program Defender zlúčil s iným antivírusovým produktom - Základy zabezpečenia spoločnosti Microsoft, takže v súčasnosti ide o kompletné antivírusové riešenie.
Program Windows Defender je pomerne produktívny a nie je náročný na systémové prostriedky, dá sa použiť nielen na domácich počítačoch, ale aj na sieti malých organizácií. Antivírus je možné aktualizovať z lokalít spoločnosti Microsoft, ako aj z interného servera WSUS. Hlavnou výhodou programu Windows Defender je však skutočnosť, že je už predinštalovaný a aktívny v systéme Windows a prakticky nevyžaduje manuálne nastavenie..
rada. V súčasnosti je program Windows Defender súčasťou systému iba v operačných systémoch používateľov a nie je k dispozícii v systéme Windows Server. Avšak v predbežnom vydaní systému Windows Server 2016 je možné program Windows Defender nainštalovať ako samostatnú súčasť servera pomocou príkazu:
Install-WindowsFeature-Name Windows-Server-Antimalware
Program Windows Defender vo väčšine prípadov dobre funguje so štandardnými nastaveniami, v prípade potreby ich však môžete zmeniť. Veľké množstvo nastavení programu Defender je možné zmeniť pomocou programu PowerShell pomocou špeciálneho modulu obranca. Prvýkrát sa objavil v PowerShell 4.0 a je určený špeciálne na správu programu Windows Defender. Tento modul obsahuje 11 cmdlets.
Kompletný zoznam cmdletov modulu je možné zobraziť pomocou príkazu:
Get-Command - modul Defender
- Add-MpPreferenc
- Get-MpComputerStatus
- Get-MpPreference
- Get-MpThreat
- Get-MpThreatCatalog
- Get-MpThreatDetection
- Remove-MpPreference
- Remove-MpThreat
- Set-MpPreference
- Start-MpScan
- Update-MpSignature
Get-MpComputerStatus - umožňuje zobraziť aktuálny stav (vrátane volieb, dátumu a verzie antivírusových databáz, času poslednej kontroly atď.)
Rutina môže zobrazovať aktuálne nastavenia programu Defender. Get-MpPreference, na ich zmenu sa používa - Set-MpPreference.
Napríklad musíme povoliť skenovanie externých jednotiek USB. Získajte aktuálne nastavenia príkazom:
Get-MpPreference | fl zakázať *
Ako vidíte, skenovanie diskov USB je zakázané (DisableRemovableDriveScanning = True). Zapnite skenovanie pomocou príkazu:
Set-MpPreference -DisableRemovableDriveScanning $ false
Môžete tiež použiť rutiny cmdlet na zmenu nastavení antivírusu. Add-MpPreference a Remove-MpPreference. Napríklad do zoznamu vylúčených antivírusových programov pridajte niekoľko priečinkov (kontrola sa v nich nebude vykonávať):
Add-MpPreference -ExclusionPath C: \ Video, C: \ install
Úplný zoznam výnimiek programu Windows Defender možno odvodiť takto:
Get-MpPreference | fl okrem *
Odstráňte konkrétny priečinok zo zoznamu vylúčení:
Remove-MpPreference -ExclusionPath C: \ install
Ak chcete aktualizovať antivírusové podpisy v databáze, použite príkaz Update-MpSignature. Použitie argumentu Aktualizujte zdroj môžete určiť zdroj aktualizácií.
Možné sú tieto zdroje aktualizácie:
- MicrosoftUpdateServer - Aktualizačný server MS na internete
- MMPC - Microsoft Malware Protection Center
- FileShares - sieťový priečinok
- InternalDefinitionUpdateServer - interný server WSUS
Ak chcete aktualizovať zo sieťového priečinka, musíte najprv stiahnuť súbory s podpismi databázy z lokality https://www.microsoft.com/security/portal/definitions/adl.aspx a umiestniť ich do sieťového adresára. Ak chcete aktualizovať databázy Defender zo sieťového adresára, musíte nastaviť jeho cestu UNC:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\ FileShare1 \ Updates
Spustite aktualizáciu:
Update-MpSignature -UpdateSource FileShares
Update-MpSignature
Systém môžete skenovať pomocou rutiny cmdlet Start-MpScan. Argument ScanType určuje jeden z troch režimov skenovania.
- FullScan - úplná kontrola všetkých súborov v počítači vrátane registra a spustených programov
- QuickScan - rýchla analýza najbežnejších miest, ktoré môžu byť infikované
- CustomScan - používateľ môže určiť jednotky a priečinky na skenovanie.
Napríklad na skenovanie adresára „C: \ Program Files“:
Start-MpScan -ScanType CustomScan -ScanPath ”C: \ Program Files”
Všetky cmdlety modulu Defender sa dajú použiť na ovládanie lokálnych aj vzdialených počítačov. Ak sa chcete pripojiť k vzdialenému počítaču, použite túto možnosť CimSession. Napríklad, ak chcete získať čas poslednej kontroly na vzdialenom počítači s názvom msk-wks-1, spustite nasledujúci príkaz (na vzdialenom počítači musí byť povolený WimRM):
$ session = NewCimSession -ComputerName msk-wks-1
Get-MpComputerStatus -CimSession $ session | fl fullscan *
Ak potrebujete deaktivovať ochranu programu Defender v reálnom čase:
Set-MpPreference-DisableRealtimeMonitoring $ true
Program Windows Defender môžete v počítači úplne zakázať pridaním kľúča do registra pomocou príkazu PowerShell:
Nová položka - Cesta „HKLM: \ SOFTVÉR \ Politiky \ Microsoft \ Windows Defender” - Názov ZakázaťAntiSpyware - Hodnota 1 - VlastnosťType DWORD - Úloha
