Bek Windows pertama kali muncul sebagai utilitas anti-virus dari MS kembali di Windows XP, dan mulai dari Windows Vista itu selalu hadir dalam sistem operasi Windows sebagai alat anti-malware bawaan. Di Windows 8, Defender digabung dengan produk antivirus lain - Esensi Keamanan Microsoft, jadi saat ini merupakan solusi anti-virus yang lengkap.
Windows Defender cukup produktif dan tidak menuntut sumber daya sistem, dapat digunakan tidak hanya di komputer di rumah, tetapi juga di jaringan organisasi kecil. Antivirus dapat diperbarui dari situs Microsoft dan dari server WSUS internal. Namun, keunggulan utama Windows Defender adalah fakta bahwa ia sudah diinstal sebelumnya dan aktif di Windows, dan secara praktis tidak memerlukan penyesuaian manual..
Kiat. Saat ini, Windows Defender adalah bagian dari sistem hanya pada OS pengguna, dan tidak tersedia di Windows Server. Namun, di Windows Server 2016 sebelum peluncuran, Windows Defender dapat diinstal sebagai komponen server terpisah dengan perintah:
Instal-WindowsFeature-Name Windows-Server-Antimalware
Dalam kebanyakan kasus, Windows Defender bekerja dengan baik dengan pengaturan standar, tetapi Anda dapat mengubahnya jika perlu. Sejumlah besar pengaturan Defender dapat diubah melalui PowerShell menggunakan modul khusus Bek. Ini pertama kali muncul di PowerShell 4.0 dan dirancang khusus untuk mengelola Windows Defender. Modul ini berisi 11 cmdlet.
Daftar cmdlet modul lengkap dapat ditampilkan menggunakan perintah:
Get-Command -Module Defender
- Tambah-mppilih
- Dapatkan-MpComputerStatus
- Dapatkan-mpreferensi
- Dapatkan-mppreat
- Dapatkan-MpThreatCatalog
- Dapatkan-MpThreatDetection
- Hapus-MpPreferensi
- Hapus-MpThreat
- Set-mppreferensi
- Mulai-MPScan
- Perbarui-MpSignature
Dapatkan-MpComputerStatus - memungkinkan Anda untuk menampilkan status saat ini (opsi yang disertakan, tanggal dan versi database anti-virus, waktu pemindaian terakhir, dll.)
Cmdlet dapat menampilkan pengaturan Pembela saat ini. Dapatkan-mpreferensi, untuk mengubahnya digunakan - Set-mppreferensi.
Sebagai contoh, kita perlu mengaktifkan pemindaian drive USB eksternal. Dapatkan pengaturan saat ini dengan perintah:
Dapatkan-MpPreferensi | menonaktifkan fl *
Seperti yang Anda lihat, pemindaian drive USB dinonaktifkan (DisableRemovableDriveScanning = True). Hidupkan pemindaian dengan perintah:
Set-MpPreference -DisableRemovableDriveScanning $ false
Anda juga dapat menggunakan cmdlet untuk mengubah pengaturan antivirus. Tambahkan-mppengaturan dan Hapus-MpPreferensi. Misalnya, tambahkan beberapa folder ke daftar pengecualian antivirus (pemindaian tidak akan dilakukan di dalamnya):
Add-MpPreference -ExclusionPath C: \ Video, C: \ install
Daftar lengkap pengecualian Windows Defender dapat disimpulkan sebagai berikut:
Dapatkan-MpPreferensi | fl excl *
Hapus folder tertentu dari daftar pengecualian:
Remove-MpPreference -ExclusionPath C: \ install
Untuk memperbarui tanda tangan antivirus di database, gunakan perintah Perbarui-MpSignature. Menggunakan argumen Perbarui sumber Anda dapat menentukan sumber pembaruan.
Sumber pembaruan berikut dimungkinkan:
- MicrosoftUpdateServer - Server pembaruan MS di Internet
- MMPC - Pusat Perlindungan Malware Microsoft
- Fileshares - folder jaringan
- InternalDefinitionUpdateServer - server WSUS internal
Untuk memperbarui dari folder jaringan, pertama-tama Anda harus mengunduh file dengan tanda tangan database dari situs https://www.microsoft.com/security/portal/definitions/adl.aspx dan letakkan di direktori jaringan. Untuk memperbarui database Defender dari direktori jaringan, Anda perlu mengatur jalur UNC-nya:
Set-MpPreferensi -SignatureDefinitionUpdateFileSharesSources \\ FileShare1 \ Pembaruan
Jalankan pembaruan:
Perbarui-MpSignature -UpdateSource FileShares
Perbarui-MpSignature
Anda dapat memindai sistem menggunakan cmdlet Mulai-MPScan. Argumen ScanType Menentukan Satu dari Tiga Mode Pindai.
- Fullscan - pemindaian penuh semua file di komputer, termasuk registri dan program yang sedang berjalan
- Pemindaian cepat - analisis cepat dari tempat-tempat paling umum yang mungkin terinfeksi
- Customscan - pengguna dapat menentukan drive dan folder untuk pemindaian.
Misalnya, untuk memindai direktori "C: \ Program Files":
Mulai-MpScan -ScanType CustomScan -ScanPath ”C: \ Program Files”
Semua cmdlet modul Defender dapat digunakan untuk mengontrol komputer lokal dan jarak jauh. Untuk terhubung ke komputer jarak jauh, gunakan opsi CimSession. Misalnya, untuk mendapatkan waktu pemindaian terakhir pada komputer jarak jauh dengan nama msk-wks-1, jalankan perintah berikut (WimRM pada PC jarak jauh harus diaktifkan):
$ session = NewCimSession -ComputerName msk-wks-1
Get-MpComputerStatus -CimSession $ sesi | fl fullscan *
Jika Anda perlu menonaktifkan perlindungan Defender secara real time:
Set-MpPreference -DisableRealtimeMonitoring $ true
Anda dapat sepenuhnya menonaktifkan Windows Defender di komputer dengan menambahkan kunci ke registri menggunakan perintah PowerShell:
New-ItemProperty -Path "HKLM: \ SOFTWARE \ Policies \ Microsoft \ Windows Defender" -Nama DisableAntiSpyware -Nilai 1 -PropertyType DWORD -Force
