Computer >> Máy Tính >  >> Hệ thống >> máy chủ Windows

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Chống vi-rút của Bộ bảo vệ Windows là chương trình chống vi-rút tích hợp sẵn miễn phí của Microsoft được cài đặt theo mặc định trên Windows Server 2016 và 2019 (kể từ Windows 10 2004, tên gọi Microsoft Defender Được sử dụng). Trong bài viết này, chúng ta sẽ xem xét các tính năng của Bộ bảo vệ Windows trên Windows Server 2019/2016.

Nội dung:

  • Bật GUI của Bộ bảo vệ Windows trên Windows Server
  • Cách gỡ cài đặt Trình chống vi-rút của Bộ bảo vệ Windows trên Windows Server 2019 và 2016?
  • Quản lý phần mềm chống vi-rút của Bộ bảo vệ Windows với PowerShell
  • Cách loại trừ tệp và thư mục khỏi tính năng quét của Bộ bảo vệ chống vi-rút của Windows?
  • Nhận Báo cáo trạng thái của Bộ bảo vệ Windows từ Máy tính Từ xa qua PowerShell
  • Cập nhật Định nghĩa Chống vi-rút của Bộ bảo vệ Windows
  • Định cấu hình Bộ bảo vệ Windows bằng Chính sách Nhóm

Bật GUI của Bộ bảo vệ Windows trên Windows Server

Windows Server 2016 và 2019 (bao gồm cả phiên bản Core) được tích hợp sẵn công cụ Chống vi-rút của Bộ bảo vệ Windows. Bạn có thể kiểm tra xem Trình chống vi-rút của Bộ bảo vệ Windows đã được cài đặt hay chưa bằng PowerShell:

Get-WindowsFeature | Đối tượng ở đâu {$ _. tên-như "* hậu vệ *"} | ft Name, DisplayName, Installstate

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Tuy nhiên, theo mặc định, không có Windows Defender Antivirus GUI trong Windows Server 2016. Bạn có thể cài đặt giao diện đồ họa của Bộ bảo vệ Windows trên Windows Server 2016 thông qua bảng điều khiển Trình quản lý máy chủ (Thêm vai trò và tính năng -> Tính năng -> Tính năng của Bộ bảo vệ Windows -> GUI cho Bộ bảo vệ Windows tính năng).

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Hoặc, bạn có thể bật GUI chống vi-rút của Bộ bảo vệ Windows bằng PowerShell:

Install-WindowsFeature -Tên Windows-Defender-GUI

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Để gỡ cài đặt GUI của Bộ bảo vệ, lệnh PowerShell sau được sử dụng:

Uninstall-WindowsFeature -Tên Windows-Defender-GUI

Trong Windows Server 2019, GUI của Bộ bảo vệ dựa trên ứng dụng APPX và có thể truy cập được thông qua Bảo mật Windows ứng dụng (Cài đặt -> Cập nhật và Bảo mật).

Bộ bảo vệ Windows được định cấu hình thông qua “ Bảo vệ chống vi-rút và mối đe dọa Menu ”.

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Nếu bạn không thể mở menu cài đặt Bộ bảo vệ và khi chạy ứng dụng Windows Security, bạn sẽ gặp lỗi “ Bạn sẽ cần một ứng dụng mới để mở windowsdefender này ”, Bạn cần đăng ký lại ứng dụng APPX bằng tệp kê khai với lệnh PowerShell sau:

Add-AppxPackage -Register -DisableDevelopmentMode "C:\ Windows \ SystemApps \ Microsoft.Windows.SecHealthUI_cw5n1h2txyewy \ AppXManifest.xml"

Nếu ứng dụng UWP (APPX) bị xóa hoàn toàn, bạn có thể khôi phục ứng dụng đó theo cách thủ công, tương tự như khôi phục ứng dụng Microsoft Store.

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Làm cách nào để Gỡ cài đặt Trình chống vi-rút của Bộ bảo vệ Windows trên Windows Server 2019 và 2016?

Trong Windows 10, khi bạn cài đặt bất kỳ chương trình chống vi-rút nào của bên thứ ba (McAfee, Norton, Avast, Kaspersky, Symantec, v.v.), trình chống vi-rút Windows Defender tích hợp sẵn sẽ bị tắt. Tuy nhiên, điều đó không xảy ra trong Windows Server. Bạn phải tắt công cụ chống vi-rút tích hợp theo cách thủ công (trong hầu hết các trường hợp, bạn không nên sử dụng nhiều chương trình chống vi-rút cùng một lúc trên một máy tính hoặc máy chủ).

Bạn có thể gỡ cài đặt Bộ bảo vệ Windows trong Windows Server 2019/2016 bằng Trình quản lý máy chủ hoặc bằng lệnh PowerShell sau:

Uninstall-WindowsFeature -Tên Windows-Defender

Không gỡ cài đặt Bộ bảo vệ Windows nếu không có phần mềm chống vi-rút nào khác trên máy chủ.

Bạn có thể cài đặt các dịch vụ của Bộ bảo vệ Windows bằng lệnh:

Add-Windows Tính năng Windows-Defender-Features, Windows-Defender-GUI

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Quản lý Trình chống vi-rút của Bộ bảo vệ Windows với PowerShell

Hãy xem xét các lệnh PowerShell điển hình mà bạn có thể sử dụng để quản lý Trình chống vi-rút của Bộ bảo vệ Windows.

Bạn có thể đảm bảo xem dịch vụ Chống vi-rút của Bộ bảo vệ Windows có đang chạy hay không bằng cách sử dụng lệnh PowerShell này:

WinDefend nhận dịch vụ

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Như bạn có thể thấy, dịch vụ đã bắt đầu (Trạng thái - Đang chạy )

Một số lý do khiến dịch vụ Bộ bảo vệ Windows không hoạt động trên Windows 10 được mô tả trong bài viết Dịch vụ Đe dọa của Bộ bảo vệ Windows đã dừng.

Bạn có thể hiển thị trạng thái hiện tại và cài đặt của Defender bằng lệnh ghép ngắn sau:

Get-MpComputerStatus

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Lệnh ghép ngắn hiển thị phiên bản và ngày cập nhật cơ sở dữ liệu chống vi-rút mới nhất (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), các thành phần chống vi-rút được kích hoạt, thời gian quét lần cuối (QuickScanStartTime), v.v.

Bạn có thể tắt tính năng bảo vệ theo thời gian thực của Bộ bảo vệ Windows như sau:

Set-MpPreference -DisableRealtimeMo Theo dõi $ true

Sau khi thực hiện lệnh này, phần mềm chống vi-rút sẽ không quét trong thời gian thực tất cả các tệp được mở bởi hệ điều hành hoặc người dùng.

Dưới đây là cách bạn có thể bật tính năng bảo vệ chống vi-rút trong thời gian thực:

Set-MpPreference -DisableRealtimeMo Monitoring $ false

Ví dụ:bạn cần bật tính năng quét các thiết bị lưu trữ USB bên ngoài. Nhận cài đặt hiện tại bằng lệnh:

Get-MpPreference | fl vô hiệu hóa *

Nếu chức năng quét ổ USB bị tắt ( DisableRemovableDriveScanning =True ), bạn có thể bật tính năng quét bằng lệnh:

Set-MpPreference -DisableRemovableDriveScanning $ false

Danh sách đầy đủ các lệnh ghép ngắn PowerShell trong mô-đun Bộ bảo vệ Windows có thể được hiển thị bằng lệnh:

Get-Command -Module Defender

Làm cách nào để Loại trừ Tệp và Thư mục khỏi Quét Chống Vi-rút của Bộ bảo vệ Windows?

Bạn có thể đặt danh sách loại trừ - đây là các tên, phần mở rộng tệp, thư mục sẽ bị loại trừ khỏi quá trình quét Chống vi-rút của Bộ bảo vệ Windows tự động. Điểm đặc biệt của Bộ bảo vệ Windows trong Windows Server 2019/2016 là danh sách loại trừ được tạo tự động được áp dụng tùy thuộc vào các tính năng và vai trò của Windows Server đã cài đặt.

Ví dụ:nếu vai trò Hyper-V được cài đặt, đối tượng sau sẽ được thêm vào danh sách loại trừ của Bộ bảo vệ:đĩa ảo và đĩa khác biệt, đĩa VHDS (* .vhd, * .vhdx, * .avhd), ảnh chụp nhanh, Hyper-V thư mục và quy trình (Vmms. exe, Vmwp.exe).

Nếu bạn muốn tắt tính năng loại trừ tự động của Microsoft Defender trên Windows Server, hãy chạy lệnh:

Set-MpPreference -DisableAutoExclusions $ true

Để thêm các thư mục cụ thể vào danh sách loại trừ chống vi-rút theo cách thủ công, hãy chạy lệnh sau:

Set-MpPreference -ExclusionPath "C:\ ISO", "C:\ VM", "C:\ Nano"

Để loại trừ quá trình quét chống vi-rút của một số quy trình, hãy sử dụng lệnh sau:

Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"

Nhận Báo cáo trạng thái của Bộ bảo vệ Windows từ Máy tính Từ xa qua PowerShell

Bạn có thể nhận trạng thái Chống vi-rút của Bộ bảo vệ Microsoft từ máy tính từ xa bằng PowerShell. Tập lệnh đơn giản sau sẽ tìm tất cả các máy chủ Windows Server trong miền AD và nhận trạng thái Bộ bảo vệ thông qua WinRM (sử dụng lệnh ghép ngắn Invoke-Command):

$ Report =@ ()
$ server =Get-ADComputer -Filter 'hệ điều hành -like "* server *" -and bật -eq "true"' | Select-Object -ExpandProperty Name
foreach ($ server trong $ server) {
$guarderinfo =Invoke-Command $ server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled, RealTimeProtectionEnabled, AntivirusSignatureLastUpdated, QuickScanAge, FullScanAge}
If ($guarderinfo) {
$ objReport =[PSCustomObject] @ {
User =$ Defenseerinfo.PSComputername
Antivirusenabled =$ Defenseerinfo.Antivirusenabled
RealTimeProtectionEnabled =$ Defenseerinfo.RealTimeProtectionEnabled
Chống virus>}
$ Report + =$ objReport
}
}
$ Report | ft

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Để nhận thông tin về các phát hiện chống vi-rút, bạn có thể sử dụng tập lệnh PowerShell sau:

$ Report =@ ()
$ server =Get-ADComputer -Filter 'Operatingsystem -like "* máy chủ * "-và đã kích hoạt -eq" true "'| Select-Object -ExpandProperty Name
foreach ($ server in $ server) {
$guarderalerts =Invoke-Command $ server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser, ProcessName, InitialDetectionTime, CleaningActionID, Resources}
If ($guarderalerts) {
foreach ($guarderalert trong $guarderalerts) {
$ objReport =[PSCustomObject] @ {
Máy tính =$guarderalert.PSComputername
DomainUser =$guarderalert.DomainUser
ProcessName =$guarderalert.ProcessName
InitialDetectionTime =$guarderalert.InitialDetectionTime
CleaningActionID =$guarderalert.CleanerActionID Tài nguyên
=$ Defenseeralert.Resources
}
$ Báo cáo + =$ objReport
}
}
}
$ Báo cáo | ft
mã>

Báo cáo hiển thị tên của tệp bị nhiễm, hành động được thực hiện, người dùng và quy trình của chủ sở hữu.

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Cập nhật Định nghĩa Chống vi-rút của Bộ bảo vệ Windows

Windows Defender Antivirus có thể tự động cập nhật trực tuyến từ máy chủ Windows Update. Nếu có một máy chủ WSUS nội bộ trong mạng của bạn, chương trình chống vi-rút của Microsoft có thể nhận các bản cập nhật từ máy chủ đó. Bạn chỉ cần đảm bảo rằng việc cài đặt các bản cập nhật đã được phê duyệt trên máy chủ WSUS của bạn (các bản cập nhật Chống vi-rút của Bộ bảo vệ Windows được gọi là Bản cập nhật Định nghĩa trong bảng điều khiển WSUS) và các ứng dụng khách được nhắm mục tiêu đến đúng máy chủ WSUS bằng GPO.

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Trong một số trường hợp, Bộ bảo vệ Windows có thể hoạt động không chính xác sau khi nhận được bản cập nhật bị hỏng. Sau đó, bạn nên đặt lại cơ sở dữ liệu định nghĩa hiện tại và tải xuống lại:

"% PROGRAMFILES% \ Windows Defender \ MPCMDRUN.exe" -RemoveDefinitions -All
"% PROGRAMFILES% \ Windows Defender \ MPCMDRUN.exe" –SignatureUpdate

Nếu Windows Server của bạn không có quyền truy cập trực tiếp vào Internet, bạn có thể cập nhật Microsoft Defender từ một thư mục mạng.

Tải xuống các bản cập nhật của Bộ bảo vệ Windows theo cách thủ công (https://www.microsoft.com/en-us/wdsi/defenderupdates) và đặt chúng vào một thư mục mạng được chia sẻ. Đặt đường dẫn đến thư mục được chia sẻ với các bản cập nhật của Bộ bảo vệ:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\ mun-fs01 \ Defender

Chạy bản cập nhật định nghĩa chống vi-rút:

Update-MpSignature -UpdateSource FileShares

Định cấu hình Bộ bảo vệ Windows bằng Chính sách Nhóm

Bạn có thể quản lý cài đặt Microsoft Defender cơ bản trên máy tính và máy chủ bằng Chính sách Nhóm. Sử dụng phần GPO sau: Cấu hình máy tính -> Mẫu quản trị -> Thành phần Windows -> Chống vi-rút của Bộ bảo vệ Windows .

Phần này cung cấp hơn 100 tùy chọn khác nhau để quản lý cài đặt Microsoft Defender.

Ví dụ:để vô hiệu hóa hoàn toàn phần mềm chống vi-rút của bạn, bạn phải bật tham số GPO “ Tắt phần mềm chống vi-rút của Bộ bảo vệ Windows ”.

Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

Có thể tìm thấy thêm thông tin về cài đặt Chính sách Nhóm của Người bảo vệ có sẵn tại đây. https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/use-group-policy-microsoft-defender-antivirus

Quản lý tập trung Windows Defender có sẵn thông qua Bảo vệ Đe doạ Nâng cao trên cổng Azure Security Center (ASC) với đăng ký trả phí (khoảng $ 15 cho mỗi máy chủ / tháng).