Антивирус Windows Defender (в новых версиях — Microsoft Defender Antivirus) встроен в Windows Server и включен по умолчанию. Он обеспечивает базовую защиту от угроз, но требует правильной настройки для оптимальной работы. В статье рассмотрим установку графического интерфейса, управление через PowerShell, настройку исключений, обновления баз и управление через групповые политики (GPO).
Проверка установки Windows Defender
Антивирус Windows Defender предустановлен в Windows Server, включая редакции Core. Проверить наличие компонента можно через PowerShell:
Get-WindowsFeature | Where-Object {$_.Name -like "*Defender*"} | Format-Table Name, DisplayName, InstallState
Команда выведет информацию о состоянии компонентов Windows Defender, таких как Антивирус Защитника Windows (Windows Defender Antivirus).
Установка графического интерфейса Windows Defender
В Windows Server графический интерфейс (GUI) для Windows Defender не всегда доступен по умолчанию. Для его установки выполните следующие шаги:
1. Откройте Диспетчер сервера (Server Manager).
2. Перейдите в раздел Добавление ролей и компонентов (Add Roles and Features).
3. В разделе Компоненты (Features) выберите Компоненты Windows Defender -> Графический интерфейс для Windows Defender (GUI for Windows Defender).
Альтернативно установите GUI через PowerShell:
Install-WindowsFeature -Name Windows-Defender-GUI
Для удаления GUI используйте:
Uninstall-WindowsFeature -Name Windows-Defender-GUI
В более новых версиях Windows Server графический интерфейс реализован как приложение Windows Security (Параметры -> Обновление и безопасность -> Безопасность Windows) (Settings -> Update & Security -> Windows Security). Настройки антивируса доступны в разделе Защита от вирусов и угроз (Virus & Threat Protection).
Исправление ошибок Windows Security
Если при открытии Windows Security появляется ошибка «Вам потребуется новое приложение для открытия ссылки windowsdefender» (You’ll need a new app to open this windowsdefender), перерегистрируйте приложение:
Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"
Если приложение отсутствует, восстановите его вручную, следуя инструкциям по восстановлению приложений, таких как Microsoft Store.
Удаление Windows Defender
В отличие от Windows 10, в Windows Server антивирус Windows Defender не отключается автоматически при установке стороннего антивируса (например, Kaspersky, McAfee). Для удаления используйте:
— Диспетчер сервера: снимите галочку с компонента Windows Defender.
— PowerShell:
Uninstall-WindowsFeature -Name Windows-Defender
Важно: не удаляйте Windows Defender, если на сервере не установлен другой антивирус. Для повторной установки используйте:
Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI
Управление Windows Defender через PowerShell
PowerShell предоставляет мощные инструменты для управления Windows Defender. Основные команды:
1. Проверка состояния службы Антивирусная служба Защитника Windows (Windows Defender Antivirus Service, WinDefend):
Get-Service WinDefend
Убедитесь, что служба запущена (статус Running).
2. Проверка текущих настроек и статуса антивируса:
Get-MpComputerStatus
Команда выводит информацию о версии баз, дате последнего обновления (AntivirusSignatureLastUpdated), времени сканирования (QuickScanStartTime) и статусе защиты.
3. Отключение защиты в реальном времени:
Set-MpPreference -DisableRealtimeMonitoring $true
Это отключает сканирование файлов в реальном времени. Для включения:
Set-MpPreference -DisableRealtimeMonitoring $false
Настройка исключений в Windows Defender
Windows Defender позволяет исключить из проверки файлы, папки, процессы или расширения. На серверах с определенными ролями (например, Hyper-V) автоматически создаются исключения для файлов виртуальных машин (*.vhd, *.vhdx), снапшотов и процессов (Vmms.exe, Vmwp.exe).
Для отключения автоматических исключений:
Set-MpPreference -DisableAutoExclusions $true
Добавление пользовательских исключений:
1. Исключение папок:
Set-MpPreference -ExclusionPath "C:\Test","C:\VM","C:\Nano"
2. Исключение процессов:
Set-MpPreference -ExclusionProcess "vmms.exe","Vmwp.exe"
Удаленный мониторинг Windows Defender
Для проверки состояния Windows Defender на удаленных серверах в домене Active Directory используйте PowerShell-скрипт:
$Report = @()
$servers = Get-ADComputer -Filter 'OperatingSystem -like "*server*" -and Enabled -eq "true"' | Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderinfo = Invoke-Command $server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property AntivirusEnabled,RealTimeProtectionEnabled,AntivirusSignatureLastUpdated,QuickScanAge,FullScanAge}
if ($defenderinfo) {
$objReport = [PSCustomObject]@{
User = $defenderinfo.PSComputerName
AntivirusEnabled = $defenderinfo.AntivirusEnabled
RealTimeProtectionEnabled = $defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated = $defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge = $defenderinfo.QuickScanAge
FullScanAge = $defenderinfo.FullScanAge
}
$Report += $objReport
}
}
$Report | Format-Table
Для получения данных об угрозах:
$Report = @()
$servers = Get-ADComputer -Filter 'OperatingSystem -like "*server*" -and Enabled -eq "true"' | Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderalerts = Invoke-Command $server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser,ProcessName,InitialDetectionTime,CleaningActionID,Resources}
if ($defenderalerts) {
foreach ($defenderalert in $defenderalerts) {
$objReport = [PSCustomObject]@{
Computer = $defenderalert.PSComputerName
DomainUser = $defenderalert.DomainUser
ProcessName = $defenderalert.ProcessName
InitialDetectionTime = $defenderalert.InitialDetectionTime
CleaningActionID = $defenderalert.CleaningActionID
Resources = $defenderalert.Resources
}
$Report += $objReport
}
}
}
$Report | Format-Table
Скрипт выводит информацию о зараженных файлах, действиях антивируса, пользователях и процессах.
Обновление баз Windows Defender
Windows Defender автоматически обновляется через Windows Update. Если используется сервер WSUS, убедитесь, что обновления баз (Definition Updates) одобрены в консоли WSUS, а клиенты настроены на получение обновлений через GPO.
При проблемах с обновлениями сбросьте базы и загрузите их заново:
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -SignatureUpdate
Для обновления из сетевой папки:
1. Скачайте обновления с сайта Microsoft.
2. Поместите их в сетевую папку.
3. Настройте путь к папке:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources "\\fs01\Updates\Defender"
4. Запустите обновление:
Update-MpSignature -UpdateSource FileShares
Управление Windows Defender через групповые политики
Для централизованного управления Windows Defender в домене используйте групповые политики (GPO):
1. Откройте редактор GPO (gpedit.msc или gpmc.msc).
2. Перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Антивирусная программа Microsoft Defender (Computer Configuration -> Administrative Templates -> Windows Components -> Windows Defender Antivirus).
3. Настройте параметры, например, отключение антивируса через политику Выключить антивирусную программу Microsoft Defender (Turn off Windows Defender Antivirus).
Доступно более 100 параметров для управления сканированием, исключениями, обновлениями и другими функциями.
Настройка Windows Defender в Windows Server включает установку GUI, управление через PowerShell, настройку исключений и обновлений. Используйте GPO для централизованного управления в домене и WSUS для обновлений баз. Эти шаги обеспечат надежную защиту сервера от угроз.
