โปรแกรมป้องกันไวรัสของ Windows Defender เป็นโปรแกรมป้องกันไวรัสในตัวฟรีของ Microsoft ที่ติดตั้งโดยค่าเริ่มต้นใน Windows Server 2016 และ 2019 (ตั้งแต่ Windows 10 2004 ชื่อ Microsoft Defender ถูกนำมาใช้). ในบทความนี้ เราจะมาดูคุณสมบัติของ Windows Defender บน Windows Server 2019/2016
สารบัญ:
- เปิดใช้งาน Windows Defender GUI บน Windows Server
- จะถอนการติดตั้ง Windows Defender Antivirus บน Windows Server 2019 และ 2016 ได้อย่างไร
- การจัดการ Windows Defender Antivirus ด้วย PowerShell
- จะแยกไฟล์และโฟลเดอร์ออกจากการสแกนไวรัสของ Windows Defender ได้อย่างไร
- รับรายงานสถานะ Windows Defender จากคอมพิวเตอร์ระยะไกลผ่าน PowerShell
- กำลังอัปเดตข้อกำหนดของโปรแกรมป้องกันไวรัสของ Windows Defender
- กำหนดค่า Windows Defender โดยใช้นโยบายกลุ่ม
เปิดใช้งาน Windows Defender GUI บน Windows Server
Windows Server 2016 และ 2019 (รวมถึงรุ่น Core) มีกลไกป้องกันไวรัสของ Windows Defender ในตัว คุณสามารถตรวจสอบว่าติดตั้ง Windows Defender Antivirus โดยใช้ PowerShell หรือไม่:
Get-WindowsFeature | Where-Object {$_. ชื่อเหมือน "*ผู้พิทักษ์*"} | ft Name,DisplayName,Installstate
อย่างไรก็ตาม ไม่มี Windows Defender Antivirus GUI ใน Windows Server 2016 โดยค่าเริ่มต้น คุณสามารถติดตั้งอินเทอร์เฟซกราฟิก Windows Defender บน Windows Server 2016 ผ่านคอนโซลตัวจัดการเซิร์ฟเวอร์ (เพิ่มบทบาทและคุณลักษณะ -> คุณลักษณะ -> คุณลักษณะของ Windows Defender -> GUI สำหรับ Windows Defender คุณสมบัติ).
หรือคุณสามารถเปิดใช้งาน GUI ป้องกันไวรัสของ Windows Defender โดยใช้ PowerShell:
ติดตั้ง-WindowsFeature -ชื่อ Windows-Defender-GUI
หากต้องการถอนการติดตั้ง Defender GUI ให้ใช้คำสั่ง PowerShell ต่อไปนี้:
ถอนการติดตั้ง-WindowsFeature -ชื่อ Windows-Defender-GUI
ใน Windows Server 2019 Defender GUI อิงตามแอปพลิเคชัน APPX และสามารถเข้าถึงได้ผ่าน ความปลอดภัยของ Windows แอพ (การตั้งค่า -> อัปเดตและความปลอดภัย)
Windows Defender ได้รับการกำหนดค่าผ่าน “การป้องกันไวรัสและภัยคุกคาม ” เมนู
คุณจะต้องมีแอปใหม่เพื่อเปิด windowsdefender นี้ ” คุณต้องลงทะเบียนแอปพลิเคชัน APPX อีกครั้งโดยใช้ไฟล์ Manifest ด้วยคำสั่ง PowerShell ต่อไปนี้:
Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"
หากแอป UWP (APPX) ถูกลบโดยสมบูรณ์ คุณสามารถกู้คืนได้ด้วยตนเอง คล้ายกับการกู้คืนแอปพลิเคชัน Microsoft Store
จะถอนการติดตั้ง Windows Defender Antivirus บน Windows Server 2019 และ 2016 ได้อย่างไร
ใน Windows 10 เมื่อคุณติดตั้งโปรแกรมป้องกันไวรัสของบริษัทอื่น (McAfee, Norton, Avast, Kaspersky, Symantec เป็นต้น) โปรแกรมป้องกันไวรัสของ Windows Defender ในตัวจะถูกปิดใช้งาน อย่างไรก็ตาม มันไม่ได้เกิดขึ้นใน Windows Server คุณต้องปิดใช้งานโปรแกรมป้องกันไวรัสในตัวด้วยตนเอง (ในกรณีส่วนใหญ่ ไม่แนะนำให้ใช้โปรแกรมป้องกันไวรัสหลายโปรแกรมพร้อมกันบนคอมพิวเตอร์หรือเซิร์ฟเวอร์หนึ่งเครื่อง)
คุณสามารถถอนการติดตั้ง Windows Defender ใน Windows Server 2019/2016 ได้โดยใช้ Server Manager หรือด้วยคำสั่ง PowerShell ต่อไปนี้:
ถอนการติดตั้ง-WindowsFeature -ชื่อ Windows-Defender
อย่าถอนการติดตั้ง Windows Defender หากไม่มีโปรแกรมป้องกันไวรัสอื่นบนเซิร์ฟเวอร์
คุณสามารถติดตั้งบริการ Windows Defender ด้วยคำสั่ง:
Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI
การจัดการ Windows Defender Antivirus ด้วย PowerShell
ลองพิจารณาคำสั่ง PowerShell ทั่วไปที่คุณสามารถใช้เพื่อจัดการ Windows Defender Antivirus
คุณสามารถตรวจสอบได้ว่าบริการป้องกันไวรัสของ Windows Defender กำลังทำงานโดยใช้คำสั่ง PowerShell นี้หรือไม่:
รับบริการ WinDefend
อย่างที่คุณเห็น บริการได้เริ่มขึ้นแล้ว (สถานะ – กำลังทำงาน )
คุณสามารถแสดงสถานะปัจจุบันและการตั้งค่าของ Defender โดยใช้ cmdlet ต่อไปนี้:
Get-MpComputerStatus
cmdlet จะแสดงเวอร์ชันและวันที่ของการอัปเดตฐานข้อมูลแอนตี้ไวรัสล่าสุด (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated) ส่วนประกอบแอนติไวรัสที่เปิดใช้งาน เวลาของการสแกนครั้งล่าสุด (QuickScanStartTime) เป็นต้น
คุณสามารถปิดใช้งานการป้องกันตามเวลาจริงของ Windows Defender ได้ดังนี้:
Set-MpPreference -DisableRealtimeMonitoring $true
หลังจากดำเนินการคำสั่งนี้ โปรแกรมป้องกันไวรัสจะไม่สแกนไฟล์ทั้งหมดที่ระบบปฏิบัติการหรือผู้ใช้เปิดตามเวลาจริง
วิธีเปิดใช้งานการป้องกันไวรัสแบบเรียลไทม์มีดังนี้
Set-MpPreference -DisableRealtimeMonitoring $false
ตัวอย่างเช่น คุณต้องเปิดใช้งานการสแกนหาอุปกรณ์จัดเก็บข้อมูล USB ภายนอก รับการตั้งค่าปัจจุบันด้วยคำสั่ง:
รับ-MpPreference | ปิดการใช้งาน fl*
หากปิดใช้งานการสแกนไดรฟ์ USB (DisableRemovableDriveScanning =True ) คุณสามารถเปิดใช้งานการสแกนโดยใช้คำสั่ง:
Set-MpPreference -DisableRemovableDriveScanning $false
รายการ PowerShell cmdlets ทั้งหมดในโมดูล Windows Defender สามารถแสดงได้ด้วยคำสั่ง:
รับคำสั่ง -Module Defender
จะแยกไฟล์และโฟลเดอร์ออกจากการสแกนไวรัสของ Windows Defender ได้อย่างไร
คุณสามารถตั้งค่ารายการการยกเว้นได้ ซึ่งได้แก่ ชื่อ นามสกุลไฟล์ ไดเร็กทอรีที่จะแยกออกจากการสแกนอัตโนมัติของ Windows Defender Antivirus ลักษณะเฉพาะของ Windows Defender ใน Windows Server 2019/2016 คือรายการข้อยกเว้นที่สร้างขึ้นโดยอัตโนมัติซึ่งนำไปใช้โดยขึ้นอยู่กับบทบาทและคุณสมบัติของ Windows Server ที่ติดตั้ง
ตัวอย่างเช่น หากมีการติดตั้งบทบาท Hyper-V ออบเจ็กต์ต่อไปนี้จะถูกเพิ่มในรายการยกเว้นของ Defender:ดิสก์เสมือนและส่วนต่าง, ดิสก์ VHDS (*.vhd, *.vhdx, *.avhd), สแน็ปช็อต, Hyper-V โฟลเดอร์และกระบวนการ (Vmms. exe, Vmwp.exe)
หากคุณต้องการปิดใช้งานการยกเว้นอัตโนมัติของ Microsoft Defender บน Windows Server ให้เรียกใช้คำสั่ง:
Set-MpPreference -DisableAutoExclusions $true
หากต้องการเพิ่มไดเร็กทอรีเฉพาะลงในรายการยกเว้นโปรแกรมป้องกันไวรัสด้วยตนเอง ให้เรียกใช้คำสั่งนี้:
Set-MpPreference -ExclusionPath "C:\ISO", "C:\VM", "C:\Nano"
หากต้องการยกเว้นการสแกนไวรัสในบางกระบวนการ ให้ใช้คำสั่งต่อไปนี้:
Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"
รับรายงานสถานะ Windows Defender จากคอมพิวเตอร์ระยะไกลผ่าน PowerShell
คุณสามารถรับสถานะ Microsoft Defender Antivirus จากคอมพิวเตอร์ระยะไกลโดยใช้ PowerShell สคริปต์อย่างง่ายต่อไปนี้จะค้นหาโฮสต์ Windows Server ทั้งหมดในโดเมน AD และรับสถานะ Defender ผ่าน WinRM (โดยใช้ Invoke-Command cmdlet):
$Report =@()
$servers=Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enable -eq "true"'| เปิดใช้งานแล้ว Select-Object -ExpandProperty Name
foreach ($เซิร์ฟเวอร์ใน $servers) {
$defenderinfo=Invoke-Command $server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled,RealTimeProtectionEnabled,AntivirusSignatureLastUpdated,QuickScanAge,FullScanAge}
If ($defenderinfo) {
$objReport =[PSCustomObject]@{
User =$defenderinfo.PSComputername
>Antivirusenabled =$defenderinfo.Antivirusenabled
RealTimeProtectionEnabled =$defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated =$defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge =$defenderinfo.QuickScanAge/Age
$Report +=$objReport
}
}
$Report|ft
ในการรับข้อมูลเกี่ยวกับการตรวจหาไวรัส คุณสามารถใช้สคริปต์ PowerShell ต่อไปนี้:
$Report =@()
$servers =Get-ADComputer -Filter 'operatingsystem -like "* เซิร์ฟเวอร์*" -และเปิดใช้งาน -eq "จริง"'| Select-Object -ExpandProperty Name
foreach ($เซิร์ฟเวอร์ใน $servers) {
$defenderalerts=Invoke-Command $server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser,ProcessName,InitialDetectionTime ,CleaningActionID,Resources }
หาก ($defenderalerts) {
foreach ($defenderalert ใน $defenderalerts) {
$objReport =[PSCustomObject]@{
คอมพิวเตอร์ =$defenderalert.PSComputername
DomainUser =$defenderalert.DomainUser
ProcessName =$defenderalert.ProcessName
InitialDetectionTime =$defenderalert.InitialDetectionTime
CleaningActionID =$defenderalert
แหล่งข้อมูล =$defenderalert.Resources
}
$Report +=$objReport
}
}
}
$Report|ft
รายงานจะแสดงชื่อไฟล์ที่ติดไวรัส การดำเนินการ ผู้ใช้ และกระบวนการของเจ้าของ
กำลังอัปเดตข้อกำหนดของโปรแกรมป้องกันไวรัสของ Windows Defender
Windows Defender Antivirus สามารถอัปเดตออนไลน์โดยอัตโนมัติจากเซิร์ฟเวอร์ Windows Update หากมีเซิร์ฟเวอร์ WSUS ภายในเครือข่ายของคุณ โปรแกรมป้องกันไวรัสของ Microsoft สามารถรับการอัปเดตได้ คุณเพียงแค่ต้องตรวจสอบให้แน่ใจว่าการติดตั้งการอัปเดตได้รับการอนุมัติบนเซิร์ฟเวอร์ WSUS ของคุณแล้ว (การอัปเดต Windows Defender Antivirus เรียกว่า Definition Updates ในคอนโซล WSUS) และไคลเอนต์มีเป้าหมาย ไปยังเซิร์ฟเวอร์ WSUS ที่ถูกต้องโดยใช้ GPO
ในบางกรณี Windows Defender อาจทำงานไม่ถูกต้องหลังจากได้รับการอัปเดตที่เสียหาย จากนั้นขอแนะนำให้รีเซ็ตฐานข้อมูลคำจำกัดความปัจจุบันและดาวน์โหลดอีกครั้ง:
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" –SignatureUpdate
หาก Windows Server ของคุณไม่มีการเข้าถึงอินเทอร์เน็ตโดยตรง คุณสามารถอัปเดต Microsoft Defender จากโฟลเดอร์เครือข่ายได้
ดาวน์โหลดการอัปเดต Windows Defender ด้วยตนเอง (https://www.microsoft.com/en-us/wdsi/defenderupdates) และวางไว้ในโฟลเดอร์เครือข่ายที่ใช้ร่วมกัน กำหนดเส้นทางไปยังโฟลเดอร์ที่ใช้ร่วมกันด้วยการอัพเดต Defender:Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\mun-fs01\Defender
เรียกใช้การอัปเดตข้อกำหนดของโปรแกรมป้องกันไวรัส:
อัปเดต-MpSignature -UpdateSource FileShares
กำหนดค่า Windows Defender โดยใช้นโยบายกลุ่ม
คุณสามารถจัดการการตั้งค่าพื้นฐานของ Microsoft Defender บนคอมพิวเตอร์และเซิร์ฟเวอร์โดยใช้นโยบายกลุ่ม ใช้ส่วน GPO ต่อไปนี้:การกำหนดค่าคอมพิวเตอร์ -> เทมเพลตการดูแลระบบ -> ส่วนประกอบของ Windows -> โปรแกรมป้องกันไวรัสของ Windows Defender .
ส่วนนี้มีตัวเลือกต่างๆ มากกว่า 100 ตัวเลือกสำหรับจัดการการตั้งค่า Microsoft Defender
ตัวอย่างเช่น หากต้องการปิดใช้งานโปรแกรมป้องกันไวรัสโดยสมบูรณ์ คุณต้องเปิดใช้งานพารามิเตอร์ GPO “ปิดโปรแกรมป้องกันไวรัสของ Windows Defender ”.
ดูข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่านโยบายกลุ่มผู้พิทักษ์ได้ที่นี่ https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/use-group-policy-microsoft-defender-antivirus
การจัดการแบบรวมศูนย์ของ Windows Defender มีให้ใช้งานผ่าน Advanced Threat Protection บนพอร์ทัล Azure Security Center (ASC) โดยมีการสมัครใช้บริการแบบชำระเงิน (ประมาณ $15 ต่อโฮสต์/เดือน)
