Sử dụng Windows Defender Antivirus trên Windows Server 2019 và 2016

0
67

Windows Defender Antivirus là chương trình chống vi-rút tích hợp sẵn miễn phí của Microsoft được cài đặt theo mặc định trên Windows Server 2016 và 2019 (kể từ Windows 10 2004, tên Microsoft Defender được sử dụng). Trong bài viết này, chúng ta sẽ xem xét các tính năng của Bộ bảo vệ Windows trên Windows Server 2019/2016.

Nội dung:
  • Bật GUI của Bộ bảo vệ Windows trên Windows Server
  • Làm thế nào để gỡ cài đặt Windows Defender Antivirus trên Windows Server 2019 và 2016?
  • Quản lý phần mềm chống vi-rút của Bộ bảo vệ Windows với PowerShell
  • Làm thế nào để Loại trừ Tệp và Thư mục khỏi Quét Chống vi-rút của Bộ bảo vệ Windows?
  • Nhận Báo cáo trạng thái của Bộ bảo vệ Windows từ Máy tính Từ xa qua PowerShell
  • Cập nhật Định nghĩa Chống vi rút của Bộ bảo vệ Windows
  • Định cấu hình Bộ bảo vệ Windows bằng Chính sách Nhóm

Bật GUI của Bộ bảo vệ Windows trên Windows Server

Windows Server 2016 và 2019 (bao gồm cả phiên bản Core) được tích hợp sẵn công cụ Chống vi-rút của Bộ bảo vệ Windows. Bạn có thể kiểm tra xem Trình chống vi-rút của Bộ bảo vệ Windows đã được cài đặt hay chưa bằng PowerShell:

Get-WindowsFeature | Where-Object {$_. name -like "*defender*"} | ft Name,DisplayName,Installstate

Checking if Windows Defender antivirus is installed on Windows Server 2019

Tuy nhiên, không có GUI của Bộ bảo vệ chống vi-rút Windows trong Windows Server 2016 theo mặc định. Bạn có thể cài đặt giao diện đồ họa Windows Defender trên Windows Server 2016 thông qua bảng điều khiển Server Manager (Thêm Vai trò và Tính năng -> Tính năng -> Tính năng của Bộ bảo vệ Windows -> Tính năng GUI cho Bộ bảo vệ Windows ).

Install Windows feature - GUI for Windows Defender

Hoặc, bạn có thể bật GUI chống vi-rút của Bộ bảo vệ Windows bằng PowerShell:

Install-WindowsFeature -Name Windows-Defender-GUI

Windows Defender GUI on WIndows Server 2016

Để gỡ cài đặt GUI của Bộ bảo vệ, lệnh PowerShell sau được sử dụng:

Uninstall-WindowsFeature -Name Windows-Defender-GUI

Trong Windows Server 2019, GUI của Bộ bảo vệ dựa trên ứng dụng APPX và có thể truy cập thông qua ứng dụng Bảo mật Windows (Cài đặt -> Cập nhật và Bảo mật).

Windows Defender được định cấu hình thông qua menu “ Bảo vệ khỏi mối đe dọa và vi-rút”.

Windows Defender GUI - virus and threat protection on Windows Server 2019

Nếu bạn không thể mở menu cài đặt Bộ bảo vệ và khi chạy ứng dụng Windows Security, bạn gặp lỗi “ You'll need a new app to open this windowsdefender ”, bạn cần đăng ký lại ứng dụng APPX bằng tệp kê khai với sau lệnh PowerShell:

Add-AppxPackage -Register -DisableDevelopmentMode "C:WindowsSystemAppsMicrosoft.Windows.SecHealthUI_cw5n1h2txyewyAppXManifest.xml"

Nếu ứng dụng UWP (APPX) bị xóa hoàn toàn, bạn có thể khôi phục thủ công, tương tự như khôi phục ứng dụng Microsoft Store.

Microsoft Defender error on WIndows Server - You’ll need a new app to open this windowsdefender

Làm thế nào để gỡ cài đặt Windows Defender Antivirus trên Windows Server 2019 và 2016?

Trong Windows 10, khi bạn cài đặt bất kỳ chương trình chống vi-rút nào của bên thứ ba (McAfee, Norton, Avast, Kaspersky, Symantec, v.v.), chương trình chống vi-rút Windows Defender tích hợp sẵn sẽ bị tắt. Tuy nhiên, nó không xảy ra trong Windows Server. Bạn phải tắt công cụ chống vi-rút tích hợp theo cách thủ công (trong hầu hết các trường hợp, bạn không nên sử dụng nhiều chương trình chống vi-rút cùng một lúc trên một máy tính hoặc máy chủ).

Bạn có thể gỡ cài đặt Bộ bảo vệ Windows trong Windows Server 2019/2016 bằng Trình quản lý máy chủ hoặc bằng lệnh PowerShell sau:

Uninstall-WindowsFeature -Name Windows-Defender

Không gỡ cài đặt Windows Defender nếu không có phần mềm chống vi-rút nào khác trên máy chủ.

Bạn có thể cài đặt các dịch vụ của Bộ bảo vệ Windows bằng lệnh:

Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI

Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI

Quản lý phần mềm chống vi-rút của Bộ bảo vệ Windows với PowerShell

Hãy xem xét các lệnh PowerShell điển hình mà bạn có thể sử dụng để quản lý Trình chống vi-rút của Bộ bảo vệ Windows.

Bạn có thể đảm bảo xem dịch vụ Chống vi-rút của Bộ bảo vệ Windows có đang chạy hay không bằng cách sử dụng lệnh PowerShell này:

Get-Service WinDefend

Get-Service WinDefend - get service status

Như bạn có thể thấy, dịch vụ đã bắt đầu (Trạng thái – Running )

Một số lý do khiến dịch vụ Bộ bảo vệ Windows không hoạt động trên Windows 10 được mô tả trong bài viết Dịch vụ Đe dọa của Bộ bảo vệ Windows đã dừng.

Bạn có thể hiển thị trạng thái hiện tại và cài đặt của Defender bằng lệnh ghép ngắn sau:

Get-MpComputerStatus

Get-MpComputerStatus reporting Windows Defender Antivirus stae with PowerShell

Lệnh ghép ngắn hiển thị phiên bản và ngày cập nhật cơ sở dữ liệu chống vi-rút mới nhất (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), các thành phần chống vi-rút được kích hoạt, thời gian quét lần cuối (QuickScanStartTime), v.v.

Bạn có thể tắt tính năng bảo vệ theo thời gian thực của Windows Defender như sau:

Set-MpPreference -DisableRealtimeMonitoring $true

Sau khi thực hiện lệnh này, phần mềm chống vi-rút sẽ không quét trong thời gian thực tất cả các tệp được mở bởi hệ điều hành hoặc người dùng.

Đây là cách bạn có thể bật tính năng bảo vệ chống vi-rút trong thời gian thực:

Set-MpPreference -DisableRealtimeMonitoring $false

Ví dụ: bạn cần bật tính năng quét các thiết bị lưu trữ USB bên ngoài. Nhận cài đặt hiện tại bằng lệnh:

Get-MpPreference | fl disable*

Nếu chức năng quét ổ USB bị tắt ( DisableRemovableDriveScanning = True ), bạn có thể bật tính năng quét bằng lệnh:

Set-MpPreference -DisableRemovableDriveScanning $false

Danh sách đầy đủ các lệnh ghép ngắn PowerShell trong mô-đun Bộ bảo vệ Windows có thể được hiển thị bằng lệnh:

Get-Command -Module Defender

Làm thế nào để Loại trừ Tệp và Thư mục khỏi Quét Chống vi-rút của Bộ bảo vệ Windows?

Bạn có thể đặt danh sách loại trừ – đây là tên, phần mở rộng tệp, thư mục sẽ bị loại trừ khỏi quá trình quét Chống vi-rút của Bộ bảo vệ Windows tự động. Điểm đặc biệt của Bộ bảo vệ Windows trong Windows Server 2019/2016 là danh sách loại trừ được tạo tự động được áp dụng tùy thuộc vào các tính năng và vai trò Windows Server đã cài đặt.

Ví dụ: nếu vai trò Hyper-V được cài đặt, đối tượng sau sẽ được thêm vào danh sách loại trừ của Bộ bảo vệ: đĩa ảo và đĩa phân biệt, đĩa VHDS (* .vhd, * .vhdx, * .avhd), ảnh chụp nhanh, Hyper-V thư mục và quy trình (Vmms. exe, Vmwp.exe).

Nếu bạn muốn tắt tính năng loại trừ tự động của Microsoft Defender trên Windows Server, hãy chạy lệnh:

Set-MpPreference -DisableAutoExclusions $true

Để thêm các thư mục cụ thể vào danh sách loại trừ chống vi-rút theo cách thủ công, hãy chạy lệnh sau:

Set-MpPreference -ExclusionPath "C:ISO", "C:VM", "C:Nano"

Để loại trừ quá trình quét chống vi-rút của một số quy trình nhất định, hãy sử dụng lệnh sau:

Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"

Nhận Báo cáo trạng thái của Bộ bảo vệ Windows từ Máy tính Từ xa qua PowerShell

Bạn có thể nhận trạng thái Chống vi-rút của Bộ bảo vệ Microsoft từ máy tính từ xa bằng PowerShell. Tập lệnh đơn giản sau sẽ tìm thấy tất cả các máy chủ Windows Server trong miền AD và nhận trạng thái Bộ bảo vệ thông qua WinRM (sử dụng lệnh ghép ngắn Invoke-Command):

$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderinfo= Invoke-Command $server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled,RealTimeProtectionEnabled,AntivirusSignatureLastUpdated,QuickScanAge,FullScanAge}
If ($defenderinfo) {
$objReport = [PSCustomObject]@{
User = $defenderinfo.PSComputername
Antivirusenabled = $defenderinfo.Antivirusenabled
RealTimeProtectionEnabled = $defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated = $defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge = $defenderinfo.QuickScanAge
FullScanAge = $defenderinfo.FullScanAge
}
$Report += $objReport
}
}
$Report|ft

check windows defender antivirus status remotely using powershell

Để nhận thông tin về các phát hiện chống vi-rút, bạn có thể sử dụng tập lệnh PowerShell sau:

$Report = @()
$servers = Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderalerts= Invoke-Command $server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser,ProcessName,InitialDetectionTime ,CleaningActionID,Resources }
If ($defenderalerts) {
foreach ($defenderalert in $defenderalerts) {
$objReport = [PSCustomObject]@{
Computer = $defenderalert.PSComputername
DomainUser = $defenderalert.DomainUser
ProcessName = $defenderalert.ProcessName
InitialDetectionTime = $defenderalert.InitialDetectionTime
CleaningActionID = $defenderalert.CleaningActionID
Resources = $defenderalert.Resources
}
$Report += $objReport
}
}
}
$Report|ft

Báo cáo hiển thị tên của tệp bị nhiễm, hành động được thực hiện, người dùng và quy trình của chủ sở hữu.

check windows defender detection history on remote computers

Cập nhật Định nghĩa Chống vi rút của Bộ bảo vệ Windows

Windows Defender Antivirus có thể tự động cập nhật trực tuyến từ máy chủ Windows Update. Nếu có một máy chủ WSUS nội bộ trong mạng của bạn, chương trình chống vi-rút của Microsoft có thể nhận các bản cập nhật từ máy chủ đó. Bạn chỉ cần đảm bảo rằng việc cài đặt các bản cập nhật đã được phê duyệt trên máy chủ WSUS của bạn (các bản cập nhật Chống vi-rút của Bộ bảo vệ Windows được gọi là Bản cập nhật Định nghĩa trong bảng điều khiển WSUS) và các máy khách được nhắm mục tiêu đến đúng máy chủ WSUS bằng GPO.

Windows Defender Definition Updates on wsus

Trong một số trường hợp, Bộ bảo vệ Windows có thể hoạt động không chính xác sau khi nhận được bản cập nhật bị hỏng. Sau đó, bạn nên đặt lại cơ sở dữ liệu định nghĩa hiện tại và tải xuống lại:

"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%Windows DefenderMPCMDRUN.exe" –SignatureUpdate

Nếu Windows Server của bạn không có quyền truy cập trực tiếp vào Internet, bạn có thể cập nhật Microsoft Defender từ một thư mục mạng.

Tải xuống các bản cập nhật của Bộ bảo vệ Windows theo cách thủ công (https://www.microsoft.com/en-us/wdsi/defenderupdates) và đặt chúng vào một thư mục mạng được chia sẻ. Đặt đường dẫn đến thư mục được chia sẻ với các bản cập nhật của Bộ bảo vệ:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources mun-fs01Defender

Chạy bản cập nhật định nghĩa chống vi-rút:

Update-MpSignature -UpdateSource FileShares

Định cấu hình Bộ bảo vệ Windows bằng Chính sách Nhóm

Bạn có thể quản lý cài đặt Microsoft Defender cơ bản trên máy tính và máy chủ bằng Chính sách Nhóm. Sử dụng phần GPO sau: Cấu hình máy tính -> Mẫu quản trị -> Thành phần Windows -> Chống vi-rút của Bộ bảo vệ Windows .

Phần này cung cấp hơn 100 tùy chọn khác nhau để quản lý cài đặt Microsoft Defender.

Ví dụ: để vô hiệu hóa hoàn toàn chương trình chống vi-rút của bạn, bạn phải bật tham số GPO “ Tắt Trình chống vi-rút của Bộ bảo vệ Windows ”.

Windows Defender Antivirus GPO

Bạn có thể tìm thêm thông tin về cài đặt Chính sách Nhóm Người bảo vệ có sẵn tại đây. https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/use-group-policy-microsoft-defender-antivirus

Quản lý tập trung Windows Defender có sẵn thông qua Bảo vệ Đe dọa Nâng cao trên cổng Azure Security Center (ASC) với đăng ký trả phí (khoảng $ 15 cho mỗi máy chủ / tháng).

Dịch từ: http://woshub.com/windows-server-defender-antivirus/

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây