Obránce systému Windows nejprve se objevil jako antivirový nástroj od MS zpět ve Windows XP a od Windows Vista je neustále přítomen v operačních systémech Windows jako vestavěný nástroj proti malwaru. V systému Windows 8 byl program Defender sloučen s jiným antivirovým produktem - Základy zabezpečení společnosti Microsoft, takže v tuto chvíli jde o kompletní antivirové řešení.
Program Windows Defender je poměrně produktivní a nenáročný na systémové prostředky, lze jej použít nejen na domácích počítačích, ale také na síti malých organizací. Antivirus lze aktualizovat z webů společnosti Microsoft i z interního serveru WSUS. Hlavní výhodou programu Windows Defender je však skutečnost, že je již předinstalovaný a aktivní ve Windows a prakticky nevyžaduje ruční nastavení..
Tip. V současné době je program Windows Defender součástí systému pouze v operačním systému uživatele a není k dispozici v systému Windows Server. V rámci předvolby systému Windows Server 2016 však lze program Windows Defender nainstalovat jako samostatnou součást serveru pomocí příkazu:
Install-WindowsFeature-Name Windows-Server-Antimalware
Program Windows Defender ve většině případů dobře funguje se standardním nastavením, ale v případě potřeby je můžete změnit. Velký počet nastavení programu Defender lze změnit pomocí PowerShell pomocí speciálního modulu Obránce. Poprvé se objevil v PowerShell 4.0 a je navržen speciálně pro správu programu Windows Defender. Tento modul obsahuje 11 cmdlets.
Úplný seznam cmdletů modulu lze zobrazit příkazem:
Get-Command - modul Defender
- Add-mppreferenc
- Get-MpComputerStatus
- Get-mppreference
- Get-mppreat
- Get-MpThreatCatalog
- Get-MpThreatDetection
- Remove-MpPreference
- Remove-MpThreat
- Set-mppreference
- Start-MPScan
- Update-MpSignature
Get-MpComputerStatus - umožňuje zobrazit aktuální stav (včetně voleb, data a verze antivirových databází, času poslední kontroly atd.)
Rutina může zobrazit aktuální nastavení Defenderu. Get-mppreference, používá se ke změně - Set-mppreference.
Například musíme povolit skenování externích jednotek USB. Získejte aktuální nastavení příkazem:
Get-MpPreference | fl zakázat *
Jak vidíte, skenování disků USB je zakázáno (DisableRemovableDriveScanning = True). Zapněte skenování příkazem:
Set-MpPreference -DisableRemovableDriveScanning $ false
Můžete také použít rutiny cmdlets ke změně nastavení antiviru. Add-mppreference a Remove-MpPreference. Například do seznamu vyloučených antivirových programů přidejte několik složek (v nich nebude provedena kontrola):
Add-MpPreference -ExclusionPath C: \ Video, C: \ install
Úplný seznam výjimek programu Windows Defender lze odvodit takto:
Get-MpPreference | fl excl *
Odstranění konkrétní složky ze seznamu vyloučení:
Remove-MpPreference -ExclusionPath C: \ install
Chcete-li aktualizovat antivirové podpisy v databázi, použijte příkaz Update-MpSignature. Pomocí argumentu Aktualizujte zdroj můžete určit zdroj aktualizací.
Jsou možné následující zdroje aktualizace:
- MicrosoftUpdateServer - Aktualizační server MS na internetu
- MMPC - Microsoft Malware Protection Center
- Fileshares - síťová složka
- InternalDefinitionUpdateServer - interní server WSUS
Chcete-li aktualizovat ze síťové složky, musíte nejprve stáhnout soubory s podpisy databáze z webu https://www.microsoft.com/security/portal/definitions/adl.aspx a umístit je do síťového adresáře. Chcete-li aktualizovat databáze aplikace Defender ze síťového adresáře, musíte nastavit cestu UNC:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\ FileShare1 \ Updates
Spusťte aktualizaci:
Update-MpSignature -UpdateSource FileShares
Update-MpSignature
Systém můžete skenovat pomocí rutiny cmdlet Start-MPScan. Argument ScanType Určuje jeden ze tří režimů skenování.
- Fullscan - úplná kontrola všech souborů v počítači, včetně registru a spuštěných programů
- Quickscan - rychlá analýza nejčastějších míst, která mohou být infikována
- Customscan - uživatel může určit jednotky a složky pro skenování.
Například prohledávání adresáře „C: \ Program Files“:
Start-MpScan -ScanType CustomScan -ScanPath ”C: \ Program Files”
Všechny cmdlety modulu Defender lze použít k ovládání místních i vzdálených počítačů. Chcete-li se připojit ke vzdálenému počítači, použijte tuto možnost CimSession. Chcete-li například získat čas poslední kontroly na vzdáleném počítači s názvem msk-wks-1, spusťte následující příkaz (na vzdáleném počítači musí být povolen WimRM):
$ session = NewCimSession -ComputerName msk-wks-1
Get-MpComputerStatus -CimSession $ session | fl fullscan *
Pokud potřebujete vypnout ochranu Defenderu v reálném čase:
Set-MpPreference - DisableRealtimeMonitoring $ true
Program Windows Defender můžete v počítači zcela zakázat přidáním klíče do registru pomocí příkazu PowerShell:
New-ItemProperty - Cesta “HKLM: \ SOFTWARE \ Policies \ Microsoft \ Windows Defender” - Jméno DisableAntiSpyware -Value 1 -PropertyType DWORD -Force
