如何使用 POWERSHELL 禁用、启用和管理 MICROSOFT DEFENDER
ninehua 2024-12-11 16:17 5 浏览
Microsoft Defender 防病毒程序是 Windows 中的内置反恶意软件程序。 Microsoft Defender(以前称为 Windows Defender)默认安装在所有 Windows 操作系统上,以防范病毒、蠕虫、特洛伊木马和其他类型的恶意软件。 Microsoft Defender 的工作效率足够高,并且系统要求较低。它可以从 Microsoft 网站或内部 WSUS 服务器在线更新。您不仅可以在家庭计算机上使用 Windows Defender,还可以在 SMB 和企业网络上使用。在本文中,我们将详细了解如何启用/禁用 Microsoft Defender 以及如何使用 PowerShell 管理不同的设置。
使用 PowerShell 管理 Microsoft Defender
Defender的主要优点是它易于使用,它已经预装在Windows 10和11中,默认启用,并且几乎不需要手动配置。
在当前版本的 Windows 10 和 11 上,您应该使用现代“设置”面板中的 Windows 安全应用程序来管理 Microsoft Defender(您可以通过“设置”>“更新和安全”>“Windows 安全”或使用快速访问 URI 命令 ms-settings 打开它:Windows Defender的)。
如果缺少 Windows 安全应用程序,请检查您的计算机上是否安装了 Microsoft.SecHealthU UWP 应用程序:
Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
提示: Microsoft Defender 目前是唯一的 Windows 桌面操作系统的一部分,并且在当前版本的 Windows Server 中不可用。但是,在最新的 Windows Server 2016/2019/2022 中,可以使用该命令将 Windows Defender 作为附加服务器功能安装。
Install-WindowsFeature-Name Windows-Server-Antimalware
在大多数情况下,Microsoft Defender 在默认设置下运行良好,但有时用户需要更改其行为。
您可以使用内置的 Defender 模块通过 PowerShell 管理 Microsoft Defender 设置。该模块包含 11 个 cmdlet。要查看 Defender 模块中包含的 cmdlet 列表,请使用以下命令:
Get-Command -Module Defender
Add-MpPreference — 用于更改 Microsoft Defender 设置;
Get-MpComputerStatus — 允许您获取计算机上防病毒软件的状态;
Get-MpPreference — 用于获取 Microsoft Defender 扫描和更新选项;
Get-MpThreat — 查看计算机上检测到的威胁的历史记录;
Get-MpThreatCatalog — 允许您从定义目录获取已知威胁;
Get-MpThreatDetection — 显示计算机上检测到的活动和最近威胁的列表;
Remove-MpPreference — 允许您删除 Microsoft Defender 设置或例外;
Remove-MpThreat — 允许您从计算机中删除活动威胁;
Set-MpPreference — 用于更改扫描和更新选项;
Start-MpScan — 运行计算机扫描;
Update-MpSignature — 反病毒定义数据库更新;
Start-MpWDOScan — 运行 Microsoft Defender 离线扫描;
要获取有关 Defender 模块的特定 cmdlet 的完整帮助,请使用 Get-Help 命令:
Get-Help Start-MpScan –Full
如果您只需要 PowerShell 命令的示例,请运行:
Get-Help Add-MpPreference -Examples
如何检查 Microsoft Defender 是否正在运行?
在使用 PowerShell cmdlet 控制 Microsoft Defender 之前,最好检查该服务是否正在运行。您可以使用 PowerShell 检查 Microsoft Defender 防病毒服务 (WinDefend)、Windows 安全服务 (SecurityHealthService) 和安全中心 (wscsvc) 的服务状态:
Get-Service Windefend, SecurityHealthService, wscsvc| Select Name,DisplayName, Status
Get-MpComputerStatus 允许您显示 Microsoft Defender 的当前状态:启用的选项、病毒定义日期和版本、上次扫描时间等。
要快速检查 Windows Defender 是否正在您的计算机上运行并找出上次防病毒定义更新的日期,请运行以下 PowerShell 命令:
Get-MpComputerStatus | Select-Object -Property Antivirusenabled,AMServiceEnabled,AntispywareEnabled,BehaviorMonitorEnabled,IoavProtectionEnabled,NISEnabled,OnAccessProtectionEnabled,RealTimeProtectionEnabled,IsTamperProtected,AntivirusSignatureLastUpdated
Antivirusenabled : True AMServiceEnabled : True AntispywareEnabled : True BehaviorMonitorEnabled : True IoavProtectionEnabled : True NISEnabled : True OnAccessProtectionEnabled : True RealTimeProtectionEnabled : True IsTamperProtected : True AntivirusSignatureLastUpdated : 4/20/2023 4:32:02 AM
如果您的计算机上安装了第三方认证的防病毒程序,Microsoft Defender 将自动禁用。
如何使用 PowerShell 禁用或启用 Windows Defender 保护?
有时您可能需要暂时暂停 Microsoft Defender 保护。在大多数情况下,禁用实时保护模块就足够了。
如何暂停 Microsoft Defender 防病毒保护?
您可以使用以下 PowerShell 命令禁用 Microsoft Defender 实时保护:
Set-MpPreference -DisableRealtimeMonitoring $true
禁用基于云的保护:
Set-MpPreference -MAPSReporting 0
这会暂停 Windows 中的防病毒保护一段时间(直到下次重新启动)。
如何禁用 Defender 篡改保护?
但是,此命令不适用于 Windows 10 或 11(22H2、22H2、21H2)的现代版本。现代 Microsoft Defender 具有新的安全功能,可阻止通过 PowerShell、注册表设置和/或组策略选项对 Windows Defender 安全功能进行更改。
默认情况下,Windows 11 和 10 中启用篡改保护。您可以使用 PowerShell 检查此选项状态:
Get-MpComputerStatus | select IsTamperProtected
您只能从 Windows 安全 GUI 应用程序禁用篡改保护。转到“病毒和威胁防护”> 单击“管理设置”> 向下滚动到“篡改防护”并将滑块移动到“关闭”位置。
在 UAC 提示符处确认此操作。请注意,出现了以下消息:
防篡改保护已关闭。您的设备可能容易受到攻击。
现在您可以使用 PowerShell 禁用 Microsoft Defender 实时保护:
Set-MpPreference -DisableRealtimeMonitoring $true
要恢复实时保护,请运行:
Set-MpPreference -DisableRealtimeMonitoring $false
开启云提供的保护:
Set-MpPreference -MAPSReporting 2
如果要完全禁用 Microsoft Defender 中的防篡改功能,则需要更改注册表项 HKLMSOFTWAREMicrosoftWindows DefenderFeatures 下的以下项目:
防篡改 = 4
篡改保护源 = 2
感知开发模式 = 0
您需要使用 NT ServiceTrustedInstaller 权限进行这些更改。
使用 PowerShell 在 Windows Server 2022/2019 上卸载 Windows Defender
您可以使用 PowerShell 在 Windows Server 201620192022 上卸载 Windows Defender。首先,停止实时保护并在提升的 PowerShell 会话中运行以下命令:
Uninstall-WindowsFeature -Name Windows-Defender
或者使用DISM工具:
Dism /online /Disable-Feature /FeatureName:Windows-Defender /Remove /NoRestart /quiet
在 Windows 11 或 10 上永久关闭 Microsoft Defender
您无法从运行桌面 Windows 版本的计算机上完全卸载 Microsoft Defender 功能。但是,您可以尝试使用DisableAntiSpyware = 1注册表项或使用本地组策略编辑器来完全禁用计算机上的Windows Defender。
New-ItemProperty -Path “HKLM:SOFTWAREPoliciesMicrosoftWindows Defender” -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force
Or:
Run the gpedit.msc console;
转到以下 GPO 部分:计算机配置 > 管理模板 > Windows 组件 > Microsoft Defender 防病毒;
在右侧窗格中找到名为“关闭Windows Defender Antivirus”的参数;
将其值更改为启用;
以同样的方式禁用实时保护部分中的以下组策略设置:关闭实时保护=禁用;
要应用新设置,请使用 gpupdate 命令更新计算机上的本地组策略设置:
gpupdate /force
然而,这在现代 Windows 10 和 11 版本中不起作用。完全禁用 Microsoft Defender 的唯一方法是以安全模式重新启动计算机并阻止 Defender 服务启动。
要以安全模式重新启动计算机,请运行以下命令:
bcdedit /set {current} safeboot minimal
reboot /r
启动进入安全模式后,打开注册表编辑器(regedit.exe);
然后依次打开以下注册表项,并将每一行中 Start 注册表项的值更改为 4:
注册表项 范围 默认值新值(禁用防守者)HKLMSYSTEMCurrentControlSetServicesSense 开始34HKLMSYSTEMCurrentControlSetServicesWdBoot 开始04HKLMSYSTEMCurrentControlSetServicesWdFilter 开始04HKLMSYSTEMCurrentControlSetServicesWdNisDrv 开始34HKLMSYSTEMCurrentControlSetServicesWdNisSvc 开始34HKLMSYSTEMCurrentControlSetServicesWinDefend 开始24
要取消启动进入安全模式,请运行以下命令:
bcdedit /deletevalue {current} safeboot
然后重新启动 Windows。使用你的帐户登录 Windows 并检查 Microsoft Defender 现已禁用。
使用 PowerShell 更改 Microsoft Defender 设置
您可以使用 PowerShell 更改 Microsoft Defender 防病毒设置。要显示当前的 Windows Defender 设置,您可以使用 cmdlet Get-MpPreference。要更改设置,请使用 Set-MpPreference。
在 Windows Defender 设置中,IPS、可移动磁盘检查、电子邮件和其他一些检查默认处于禁用状态。例如,您需要启用可移动驱动器的扫描。让我们使用以下命令获取当前设置:
Get-MpPreference | fl disable*
在 Windows 11 中,默认情况下禁用以下 Windows Defender 功能:
DisableCatchupFullScan.
DisableCatchupQuickScan.
DisableCpuThrottleOnIdleScans.
DisableEmailScanning.
DisableRemovableDriveScanning.
DisableRestorePoint.
DisableScanningMappedNetworkDrivesForFullScan.
EnableFileHashComputation.
EnableFullScanOnBatteryPower.
EnableLowCpuPriority.
如您所见,可移动驱动器扫描已禁用 (DisableRemovableDriveScanning = True)。使用以下命令将其打开:
Set-MpPreference -DisableRemovableDriveScanning $false
此外,您还可以禁用某些类型的 Windows Defender 扫描。默认情况下,Windows Defender 扫描存档文件(RAR、ZIP、CAB),这些文件可能包含恶意文件。您可以使用以下命令禁用存档文件扫描:
Set-MpPreference -DisableArchiveScanning $True
确保应用新设置:
Get-MpPreference|select DisableArchiveScanning
然后,Windows Defender 将停止实时扫描任何打开的存档文件。
此外,要更改或删除防病毒排除设置,您可以使用 Add-MpPreference 和 Remove-MpPreference cmdlet。例如,让我们将一些文件夹路径添加到防病毒排除项中:
Add-MpPreference -ExclusionPath C:Video, C:install
显示 Windows Defender 的路径例外列表:
Get-MpPreference | fl excl*
要排除某些进程的防病毒扫描,请运行以下命令:
Set-MpPreference -ExclusionProcess "word.exe", "vmwp.exe"
要删除特定文件夹的例外:
Remove-MpPreference -ExclusionPath C:install
Windows Defender 具有隐藏功能,可以防止不需要的程序(潜在不需要的程序 – PUP、潜在不需要的应用程序 – PUA)。默认情况下,它只能在 Windows 10/11 企业版中访问,但借助以下命令,您可以在任何 Windows 10 版本中启用 PUP/PUA 保护:
Set-MpPreference -PUAProtection 1
打开保护后,当您尝试在计算机上启动或安装可能不需要的程序时,您将在 Windows 10 中收到来自 Defender 的以下通知。
Windows Defender 采取了行动
您的设置导致 Windows Defender 防病毒软件阻止可能在您的设备上执行不需要的操作的应用程序。
使用 PowerShell 更新 Microsoft Defender 签名
您可以使用 Update-MpSignature 命令更新计算机上的防病毒签名数据库。
默认情况下,Windows Defender 从在线 Microsoft 更新服务器接收更新。您可以使用 UpdateSource 参数指定要从何处接收病毒定义更新。
可以使用以下病毒定义源:
微软更新服务器;
MMPC 微软恶意软件防护中心;
SMB 文件共享;
InternalDefinitionUpdateServer — 内部 WSUS 服务器。
要从 Windows 文件服务器上的网络共享文件夹更新防病毒软件,您需要下载必要的定义更新文件并将它们放入共享网络文件夹中。然后,您必须指定应从文件共享源更新 Windows Defender(使用 UNC 路径):
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \DESKTOP-V20E3POUpdates
要手动运行病毒更新和恶意软件定义:
Update-MpSignature -UpdateSource FileShares Update-MpSignature
在某些情况下,收到不正确的更新后,Microsoft Defender 可能无法正常工作。在这种情况下,建议重置当前线程定义数据库并从源重新加载它们:
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" -RemoveDefinitions -All "%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" –SignatureUpdate
Microsoft Defender:使用 PowerShell 扫描恶意软件
要对计算机执行防病毒扫描,请使用 Start-MpScan cmdlet。使用 ScanType 参数,您可以选择三种扫描模式之一:
FullScan — 对计算机上的所有文件以及系统注册表和当前运行的应用程序执行扫描;
QuickScan — 仅分析最有可能被恶意软件感染的区域(注册表、活动 RAM、系统文件夹);
CustomScan — 用户选择要扫描的文件夹和驱动器。
例如,运行自定义扫描来检查系统文件夹“C:Program Files”:
Start-MpScan -ScanType CustomScan -ScanPath ”C:Program Files”
您可以使用以下命令通过 Microsoft Defender 执行完整的计算机扫描:
Start-MpScan -ScanType FullScan
或快速威胁扫描:
Start-MpScan -ScanType QuickScan
要删除计算机上的所有活动威胁,请使用以下命令:
Remove-MpThreat
所有 Defender 模块 cmdlet 都可以在本地和远程计算机上执行。要连接到远程计算机,您需要使用 CimSession 选项。例如,要从主机名为 lnd_wks21 的远程计算机获取上次扫描的日期,请运行以下命令(必须启用 WinRM):
$session = NewCimSession -ComputerName lnd_wks21 Get-MpComputerStatus -CimSession $session | fl fullscan*
您可以使用 Start-MpWDOScan cmdlet 通过 Windows Defender 执行脱机扫描。
执行此命令后,您的操作系统将自动重新启动。 Windows Defender 将在特殊的启动环境中启动,并在 Windows 启动之前扫描您的设备是否存在威胁。
如何将 Microsoft Defender 重置为默认值?
您可以使用 Windows 安全应用程序重置所有 Windows Defender 设置。
按“开始”按钮并输入:Windows 安全;
选择应用程序设置;
向下滚动到“重置”按钮并单击它;
将出现以下警告:“这将永久删除该设备上的应用程序数据,包括您的首选项和登录详细信息”。按重置按钮确认。
相关推荐
- Windows系统激活工具:W10 Digital Activation
-
W10DigitalActivation是是由俄罗斯人Ratiborus制作的一款Windows10永久激活工具,主要采用HWID(Windows10数字许可永久激活)和KMS38模式(激活有...
- 激活工具及系统调试工具下载方法!含office激活,共享修复等工具
-
今天给大家分享一下激活工具以及系统调试工具,视频后边会给一个下载的方法,我们可以去下载使用。1.我们下载好的是一个压缩包,需要输入密码以后完全解压出来才可以使用。需要注意的是压缩包里边的工具比较多,有...
- 微软商店上架KMS激活工具win10系统和office免费激活,攻略附上
-
最近网上热传微软官方软件商店上竟然上架了KMS系统激活工具,下载测试后确实有效,不知道微软是是心大还是另有其他的目的。既然这样今天就把简单的系统激活教程分享一下,至少能避免大家从其他渠道下载下到一些恶...
- HWIDGEN——Win10数字权利永久激活神器
-
HWIDGEN是一款非常实用的Windows10永久激活工具。软件采用win0数字权利激活,是一种全新的系统激活方式。与KMS激活工具不同,KMS激活具有180天有效期,使用超过180需要再次手动激活...
- Windows10系统下载地址及安装教程(永久激活)
-
软件介绍:...
- win10系统+office任何版本简单激活工具分享,赶紧收藏
-
经常有朋友问我怎么激活Win10系统及office办公软件,叫我帮忙远程一下。我今天刚重装了一下Win10正式专业版系统,由于是采用“全新”方式安装Windows10系统及office2019,因此系...
- win10系统永久激活工具 win10永久激活工具使用方法
-
1、下载激活工具:云萌2、软件不需要安装,下载双击即可使用。根据自己win10的版本,选择对应要激活的版本。教育版,选择Education;专业版,选择Professional。...
- CS资质办理流程详解,认证不再走弯路
-
CS能力等级划分为五个等级,从低到高分别用CS1级、CS2级、CS3级、CS4级、CS5级表示,并依次定义为初始级、基本级、良好级、优秀级和杰出级。...
- 支持独显+软硬件AI加持丨零刻GTI Ultra首发拆解评测+内存超频作业
-
#理想家生活#...
- CSGO时代奖金高达1.6亿美金 CS2会超过前者吗?
-
随着CS2的正式发布,CSGO的大型赛事在EPLS18结束之后也将画上句号,近日,有外媒统计了CSGO时代的奖金情况。...
- 技嘉 B760M新雕妹2.0主板评测:二次元狂喜,性价比超高
-
越来越多的硬件厂家都推出了自己的二次元代言人,并将它们融入各大产品中,从而吸纳二次元用户。前不久技嘉推出了B760M新雕妹2.0主板,直接将雕妹印在了散热装甲上,也整块主板给人眼前一亮,今天就让我们一...
- 完美世界赛事霸王条款不能退票?想找人工客服却只找到机器人
-
来源:5D调查近日,《5D调查》发现,有大量消费者向黑猫投诉平台反馈称,自己购买了12月开赛的电竞赛事CS2上海Major的门票,因各种原因无法观赛想要退票,却都被完美世界客服拒绝,且没有给出任何理由...
- cs认证办理条件是什么? cs产品认证
-
办理cs认证需要具备哪些条件?以下对此做了介绍,供参考。1、具有独立企业法人资格,从事信息系统建设和服务业务1年以上。2、社会信誉良好,具有良好的资信和公众形象,具有良好的知识产权保护意识,无违反国家...
- CS2卡顿,跳帧掉帧,画面撕裂,教你如何避免
-
CS2匆忙上线,很多小伙伴吐槽游戏是半成品,游戏本体塑料感太差,优化稀烂等等,有很多朋友明明设备已经很不错了,结果在玩CS2时还是会出现各种画面问题,接下来就让我告诉大家画质最优解,低配高配都能用哦...
- 所有完美世界上海Major的战队和选手贴纸。
-
以下是完美世界上海Major的所有选手签名和战队贴纸。在RMR结束后,Valve发布了完美世界上海Major的战队和选手签名贴纸。这次,选手们被要求手绘签名,就像在粉丝的鼠标垫上签名一样,因此整体风格...