Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Chống vi-rút của Bộ bảo vệ Windows là chương trình chống vi-rút tích hợp sẵn miễn phí của Microsoft được cài đặt theo mặc định trên Windows Server 2016 và 2019 (kể từ Windows 10 2004, tên gọi Microsoft Defender Được sử dụng). Trong bài viết này, chúng ta sẽ xem xét các tính năng của Bộ bảo vệ Windows trên Windows Server 2019/2016.

Nội dung:

• Bật GUI của Bộ bảo vệ Windows trên Windows Server
• Cách gỡ cài đặt Trình chống vi-rút của Bộ bảo vệ Windows trên Windows Server 2019 và 2016?
• Quản lý phần mềm chống vi-rút của Bộ bảo vệ Windows với PowerShell
• Cách loại trừ tệp và thư mục khỏi tính năng quét của Bộ bảo vệ chống vi-rút của Windows?
• Nhận Báo cáo trạng thái của Bộ bảo vệ Windows từ Máy tính Từ xa qua PowerShell
• Cập nhật Định nghĩa Chống vi-rút của Bộ bảo vệ Windows
• Định cấu hình Bộ bảo vệ Windows bằng Chính sách Nhóm

Bật GUI của Bộ bảo vệ Windows trên Windows Server

Windows Server 2016 và 2019 (bao gồm cả phiên bản Core) được tích hợp sẵn công cụ Chống vi-rút của Bộ bảo vệ Windows. Bạn có thể kiểm tra xem Trình chống vi-rút của Bộ bảo vệ Windows đã được cài đặt hay chưa bằng PowerShell:

Get-WindowsFeature | Đối tượng ở đâu {$ _. tên-như "* hậu vệ *"} | ft Name, DisplayName, Installstate

Tuy nhiên, theo mặc định, không có Windows Defender Antivirus GUI trong Windows Server 2016. Bạn có thể cài đặt giao diện đồ họa của Bộ bảo vệ Windows trên Windows Server 2016 thông qua bảng điều khiển Trình quản lý máy chủ (Thêm vai trò và tính năng -> Tính năng -> Tính năng của Bộ bảo vệ Windows -> GUI cho Bộ bảo vệ Windows tính năng).

Hoặc, bạn có thể bật GUI chống vi-rút của Bộ bảo vệ Windows bằng PowerShell:

Install-WindowsFeature -Tên Windows-Defender-GUI

Để gỡ cài đặt GUI của Bộ bảo vệ, lệnh PowerShell sau được sử dụng:

Uninstall-WindowsFeature -Tên Windows-Defender-GUI

Trong Windows Server 2019, GUI của Bộ bảo vệ dựa trên ứng dụng APPX và có thể truy cập được thông qua Bảo mật Windows ứng dụng (Cài đặt -> Cập nhật và Bảo mật).

Bộ bảo vệ Windows được định cấu hình thông qua “ Bảo vệ chống vi-rút và mối đe dọa Menu ”.

Add-AppxPackage -Register -DisableDevelopmentMode "C:\ Windows \ SystemApps \ Microsoft.Windows.SecHealthUI_cw5n1h2txyewy \ AppXManifest.xml"

Nếu ứng dụng UWP (APPX) bị xóa hoàn toàn, bạn có thể khôi phục ứng dụng đó theo cách thủ công, tương tự như khôi phục ứng dụng Microsoft Store.

Làm cách nào để Gỡ cài đặt Trình chống vi-rút của Bộ bảo vệ Windows trên Windows Server 2019 và 2016?

Trong Windows 10, khi bạn cài đặt bất kỳ chương trình chống vi-rút nào của bên thứ ba (McAfee, Norton, Avast, Kaspersky, Symantec, v.v.), trình chống vi-rút Windows Defender tích hợp sẵn sẽ bị tắt. Tuy nhiên, điều đó không xảy ra trong Windows Server. Bạn phải tắt công cụ chống vi-rút tích hợp theo cách thủ công (trong hầu hết các trường hợp, bạn không nên sử dụng nhiều chương trình chống vi-rút cùng một lúc trên một máy tính hoặc máy chủ).

Bạn có thể gỡ cài đặt Bộ bảo vệ Windows trong Windows Server 2019/2016 bằng Trình quản lý máy chủ hoặc bằng lệnh PowerShell sau:

Uninstall-WindowsFeature -Tên Windows-Defender

Không gỡ cài đặt Bộ bảo vệ Windows nếu không có phần mềm chống vi-rút nào khác trên máy chủ.

Add-Windows Tính năng Windows-Defender-Features, Windows-Defender-GUI

Quản lý Trình chống vi-rút của Bộ bảo vệ Windows với PowerShell

Hãy xem xét các lệnh PowerShell điển hình mà bạn có thể sử dụng để quản lý Trình chống vi-rút của Bộ bảo vệ Windows.

Bạn có thể đảm bảo xem dịch vụ Chống vi-rút của Bộ bảo vệ Windows có đang chạy hay không bằng cách sử dụng lệnh PowerShell này:

WinDefend nhận dịch vụ

Như bạn có thể thấy, dịch vụ đã bắt đầu (Trạng thái - Đang chạy )

Bạn có thể hiển thị trạng thái hiện tại và cài đặt của Defender bằng lệnh ghép ngắn sau:

Get-MpComputerStatus

Lệnh ghép ngắn hiển thị phiên bản và ngày cập nhật cơ sở dữ liệu chống vi-rút mới nhất (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), các thành phần chống vi-rút được kích hoạt, thời gian quét lần cuối (QuickScanStartTime), v.v.

Bạn có thể tắt tính năng bảo vệ theo thời gian thực của Bộ bảo vệ Windows như sau:

Set-MpPreference -DisableRealtimeMo Theo dõi $ true

Sau khi thực hiện lệnh này, phần mềm chống vi-rút sẽ không quét trong thời gian thực tất cả các tệp được mở bởi hệ điều hành hoặc người dùng.

Set-MpPreference -DisableRealtimeMo Monitoring $ false

Ví dụ:bạn cần bật tính năng quét các thiết bị lưu trữ USB bên ngoài. Nhận cài đặt hiện tại bằng lệnh:

Get-MpPreference | fl vô hiệu hóa *

Nếu chức năng quét ổ USB bị tắt ( DisableRemovableDriveScanning =True ), bạn có thể bật tính năng quét bằng lệnh:

Set-MpPreference -DisableRemovableDriveScanning $ false

Danh sách đầy đủ các lệnh ghép ngắn PowerShell trong mô-đun Bộ bảo vệ Windows có thể được hiển thị bằng lệnh:

Get-Command -Module Defender

Làm cách nào để Loại trừ Tệp và Thư mục khỏi Quét Chống Vi-rút của Bộ bảo vệ Windows?

Bạn có thể đặt danh sách loại trừ - đây là các tên, phần mở rộng tệp, thư mục sẽ bị loại trừ khỏi quá trình quét Chống vi-rút của Bộ bảo vệ Windows tự động. Điểm đặc biệt của Bộ bảo vệ Windows trong Windows Server 2019/2016 là danh sách loại trừ được tạo tự động được áp dụng tùy thuộc vào các tính năng và vai trò của Windows Server đã cài đặt.

Ví dụ:nếu vai trò Hyper-V được cài đặt, đối tượng sau sẽ được thêm vào danh sách loại trừ của Bộ bảo vệ:đĩa ảo và đĩa khác biệt, đĩa VHDS (* .vhd, * .vhdx, * .avhd), ảnh chụp nhanh, Hyper-V thư mục và quy trình (Vmms. exe, Vmwp.exe).

Nếu bạn muốn tắt tính năng loại trừ tự động của Microsoft Defender trên Windows Server, hãy chạy lệnh:

Set-MpPreference -DisableAutoExclusions $ true

Để thêm các thư mục cụ thể vào danh sách loại trừ chống vi-rút theo cách thủ công, hãy chạy lệnh sau:

Set-MpPreference -ExclusionPath "C:\ ISO", "C:\ VM", "C:\ Nano"

Để loại trừ quá trình quét chống vi-rút của một số quy trình, hãy sử dụng lệnh sau:

Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"

Nhận Báo cáo trạng thái của Bộ bảo vệ Windows từ Máy tính Từ xa qua PowerShell

Bạn có thể nhận trạng thái Chống vi-rút của Bộ bảo vệ Microsoft từ máy tính từ xa bằng PowerShell. Tập lệnh đơn giản sau sẽ tìm tất cả các máy chủ Windows Server trong miền AD và nhận trạng thái Bộ bảo vệ thông qua WinRM (sử dụng lệnh ghép ngắn Invoke-Command):

$ Report =@ ()
$ server =Get-ADComputer -Filter 'hệ điều hành -like "* server *" -and bật -eq "true"' | Select-Object -ExpandProperty Name
foreach ($ server trong $ server) {
$guarderinfo =Invoke-Command $ server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled, RealTimeProtectionEnabled, AntivirusSignatureLastUpdated, QuickScanAge, FullScanAge}
If ($guarderinfo) {
$ objReport =[PSCustomObject] @ {
User =$ Defenseerinfo.PSComputername
Antivirusenabled =$ Defenseerinfo.Antivirusenabled
RealTimeProtectionEnabled =$ Defenseerinfo.RealTimeProtectionEnabled
Chống virus>}
$ Report + =$ objReport
}
}
$ Report | ft

Để nhận thông tin về các phát hiện chống vi-rút, bạn có thể sử dụng tập lệnh PowerShell sau:

$ Report =@ ()
$ server =Get-ADComputer -Filter 'Operatingsystem -like "* máy chủ * "-và đã kích hoạt -eq" true "'| Select-Object -ExpandProperty Name
foreach ($ server in $ server) {
$guarderalerts =Invoke-Command $ server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser, ProcessName, InitialDetectionTime, CleaningActionID, Resources}
If ($guarderalerts) {
foreach ($guarderalert trong $guarderalerts) {
$ objReport =[PSCustomObject] @ {
Máy tính =$guarderalert.PSComputername
DomainUser =$guarderalert.DomainUser
ProcessName =$guarderalert.ProcessName
InitialDetectionTime =$guarderalert.InitialDetectionTime
CleaningActionID =$guarderalert.CleanerActionID Tài nguyên
=$ Defenseeralert.Resources
}
$ Báo cáo + =$ objReport
}
}
}
$ Báo cáo | ft
mã>