В Windows Server 2016 имеется встроенный функционал антивирусной защиты, представляющей собой «родной» антивирус Microsoft — Windows Defender, который установлен и включен по-умолчанию. В этой статье мы рассмотрим особенности антивируса Windows Defender в Windows Server 2016.
Графический интерфейс Windows Defender
По умолчанию в серверной редакции устанавливаются только движок антивируса Windows Defender (Защитник Windows). Чтобы установить графический интерфейс Defender, нужно с помощью консоли Server Manager установить серверный компонент GUI for Windows Defender (находится в разделе Windows Defender Features).
Включить графический интерфейс антивируса можно с помощью PowerShell
Install-WindowsFeature -Name Windows-Defender-GUI
Uninstall-WindowsFeature -Name Windows-Defender-GUIУдаление антивируса Windows Defender в Windows Server 2016
В Windows 10 при установке любого стороннего антвируса (Kaspersky, McAfee, Symantec, и пр.) встроенный антивирус Windows Defender отключается, однако в Windows Server 2016 этого не происходит. Отключать компонент встроенного антивируса нужно вручную (в подавляющем большинстве случаев не рекомендуется использовать одновременно несколько разных антивирусов на одном компьютере/сервере).
Удалить компонент Windows Defender в Windows Server 2016 можно из графической консоли Server Manager или такой командой:
Uninstall-WindowsFeature -Name Windows-Defender
Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI
Управление Windows Defender с помощью команд PowerShell
Рассмотрим типовые команды PowerShell, которые можно использовать для управления антивирусом Windows Defender.
Проверить, запущена ли служба Защитник Windows можно с помощью команды PowerShell:
Get-Service WinDefend
Как вы видите, служба запушена (статус – Running)
Текущие настройки и статус Defender можно вывести с помощью командлета:
Get-MpComputerStatus
Вывод комадлета содержит версию и дату обновления антивирусных баз, включенные компоненты, время последнего сканирования и т.д.
Отключить защиту в реальном времен Windows Defender можно с помощью команды:
Set-MpPreference -DisableRealtimeMonitoring $true
После выполнения данной команды, антивирус не будет сканировать на лету все обрабатываемые системой файлы.
Set-MpPreference -DisableRealtimeMonitoring $false
Более полный список команд Powershell, которые можно использовать для управления антивирусом есть в статье Управление Windows Defender с помощью PowerShell.
Исключения антивируса Windows Defender
В антивирусе можно задать список исключений – это имена, расширения файлов, каталоге, которые нужно исключить из автоматической проверки антивирусом Windows Defender. Особенность Защитника Windows в Server 2016 – автоматически генерируемый список исключений антивируса, который применяется в зависимости от установленных ролей сервера. Согласитесь, логично, например при установке роли Hyper-V исключить из проверки антивирусом файлы виртуальных и дифференциальных дисков, vhds дисков (*.vhd, *.vhdx, *.avhd ), снапшоты и другие файлы виртуальных машин.
Чтобы вручную добавить определенные каталоги в список исключения антивируса, выполните команду:
Set-MpPreference -ExclusionPath "C:\Test", "C:\VM", "C:\Nano"
Чтобы исключить антивирусную проверку определенных процессов, выполните команду:
Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"
Обновление антивируса Windows Defender
Антивирус Windows Defender может автоматически обновляться из Интернета с серверов Windows Update. В том случае, если в сети установлен внутренний сервер WSUS, антивирус может получать обновления с него. Главное, убедится, что установка обновлений была одобрена на стороне WSUS сервера (в консоли WSUS обновления антивирусных баз Windows Defender, называются Definition Updates), а клиенты нацелены на нужный сервер WSUS с помощью GPO.
В некоторых случаях, после получения «кривого» обновления, Защитник Windows может работать некорректно. В этом случае рекомендуется сбросить текущие базы и перекачать их заново:
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" –SignatureUpdate
Некоторые причины, из-за которых служба Windows Defender отказывается запускаться в Windows 10 рассмотрены в статье Служба работы с угрозами остановлена.
Спасибо за статью! На работе бывает спорим об антивирусах — какой «лучше»? Коллеги говорят, что самые лучшие KAV, NOD, Symantec — те, которые на слуху. Подозреваю, что она лидеры сравнительных обзоров, потому что последние делаются на платной основе.
Есть ли реальные случаи использования MS Defender + SCCM в среде организации (более 1000 ПК, более 100 серверов)? Насколько хорошо он работает?
Какой антивирус лучше — это бесконечный спор, почти все современные комерческие решения технологически недалеко отстают друг от друга.
По сути при выборе корпоративного антивируса выбор делается исходя из цены, наличия техподдержки, удобства централизованного управления, гранулирования разрешений и отчетов.
На мой вгляд Defender вполне пойдет для бюджетного решения на небольшой сети. Для крупного бизнеса основной недостаток Defender — отсутствие вменяемых средств централизованного управления. Есть какие-то возможности интеграции с SCCM, но как я понял пока все еще сыровато и не так удобно, как в больших решениях (+ сама недешевая лицензия SCCM). Но со временем, думаю MS сократит отставание, все-таки ниша антвирусов довольно прибыльна
Спасибо за ответ!
Я знаю, что мониторить Defender со времен Windows 7 можно через Event Viewer. Можно сделать подписки на события и в дальнейшем анализировать. Настраивать в новых Windows можно через GPO/реестр). Но это выглядит менее удобным, чем одна общая консоль.
Вот только по не изучал вопрос лицензирования: надо ли на встроенный Defender (например, на Windows 10 и 2016) докупать лицензии? Или встроенный бесплатный, а какой-нибудь Enterprise Edition — уже платный?
Да… Было бы интересно почитать про реальное использование Defender в гетерогенной среде предприятия (Windows 7 — 10/2008R2 — 2016) 🙂
Наскоько я знаю, есть только одна — бесплатная редакция Defender . Получается платное только средство управления в виде System Center.
Мне бы тоже был интересно почитать о такой экзотике 🙂 Но к сожалению, нигде не встречал
SCCM управляет клиентом System Center Endpoint Protection (SCEP). Это развертываемый\устанавливаемый клиент для Win7. Для Win8-10 ничего развертывать не надо, Defender попадает под управление SCCM , если развернут либо клиент SCCM на рабочей станции, либо через применением политик , экспортнутых с SCCM, например через шедулер. Последнее хорошо, например, для серверов, так антивирусная часть в этом случае FREE, а вот установка клиента SCCM на сервер лицензируется. Но плохо то, что в таком случае нет централизации на стороне SCCM.
На НЕсерверных системах, если у вас VL , то и клиент SCCM и SCEP — бесплатно.
Спасибо за инфу! То есть все таки у коллеги есть опыт использования Defender во взрослых задачах. Это не экзотика! 😉
Укажите что после выполнения команды удаление Windows Defender, требуется перезагрузка сервера, для полной остановки сервиса.