Windows Defender apareció por primera vez como una utilidad anti-virus para Windows XP. Desde Vista se incorporó en todos los sistemas operativos de Microsoft como protección contra virus, gusanos, troyanos y otro tipo de software malicioso. En Windows 8 se fusionó con otro producto antivirus – Microsoft Security Essentials , y ahora es un software antivirus con todas las funciones. Windows Defender es lo suficientemente productivo y tiene bajos requerimientos de sistema. Puede ser actualizado desde el sitio web de Microsoft en línea o desde un servidor interno WSUS. Eso permite usarlo no sólo en computadoras domésticas, sino también en redes corporativas de PYMES y empresas. En este artículo examinaremos con más detalle cómo administrar las diferentes configuraciones y habilitar o deshabilitar Windows Defender mediante PowerShell.
Contenido
Administrar y Habilitar/Deshabilitar Windows Defender usando PowerShell
La principal ventaja de Defender es que es fácil de usar, ya está preinstalado en Windows 10 y 8.1, está habilitado por defecto y prácticamente no necesita configuración manual.
Punta . Por el momento, Windows Defender es parte del único sistema operativo del lado del cliente y no está disponible en las versiones actuales de Windows Server. Aunque, en una versión preliminar reciente de Windows Server 2016, Windows Defender puede instalarse como una función de servidor ( Instalar-Nombre de la función de Windows Windows-Server-Antimalware ).
En la mayoría de los casos, Windows Defender funciona bien con la configuración predeterminada, pero a veces el usuario necesita cambiar su comportamiento. Un gran número de configuraciones disponibles desde la consola PowerShell, a través de un módulo especial Defender . Apareció por primera vez en PowerShell 4.0 y fue diseñado específicamente para la administración de Windows Defender. Este módulo contiene 11 cmdlets, que estamos revisando hoy.
Windows Defender lista de cmdlets de PowerShell
Para mostrar una lista de cmdlets contenidos en el módulo, ejecute el siguiente comando:
Get-Command -Module Defender
- Add-MpPreference – se usa para cambiar la configuración de Windows Defender;
- Get-MpComputerStatus-permite obtener el estado del software antivirus de su ordenador;
- Get-MpPreference – usado para obtener las opciones de escaneo y actualización de Windows Defender para;
- Get-MpThreat-ver el historial de amenazas detectadas en su ordenador;
- Get-MpThreatCatalog-permite conocer las amenazas del directorio de definiciones;
- Get-MpThreatDetection muestra una lista de las amenazas activas y recientes detectadas en la computadora;
- Eliminar-MpPreferencia: permite eliminar la configuración o las excepciones de Windows Defender;
- Remove-MpThreat-le permite eliminar las amenazas activas de su ordenador;
- Set-MpPreferencia – se usa para cambiar las opciones de escaneo y actualización;
- Inicio-MpScan-ejecutar un escaneo por computadora;
- Actualización de la base de datos de definición de anti-virus Update-MpSignature;
- Inicio-MpWDOScan- lanza el escaneo offline de Windows Defender;
LEER TAMBIÉN Arreglar el uso del 100% del disco en Windows 10
Para obtener ayuda completa sobre un cmdlet específico del módulo Defender, use el comando:
Get-Help nombre del cmdlet -Full
Si sólo necesitas ejemplos de los comandos de PowerShell, corre:
Get-Help nombre del cmdlet -Ejemplos
Antes de utilizar los cmdlets de PowerShell para controlar Windows Defender, es aconsejable comprobar que el servicio se está ejecutando. Ejecute el comando:
sc consulta Windefend
Get-MpComputerStatus permite mostrar el estado actual de Windows Defender: opciones habilitadas, fecha y versión de la definición de virus, hora del último análisis y otros.
Para mostrar la configuración actual de Windows Defender puedes usar cmdlet Get-MpPreference , para cambiar la configuración usa – Set-MpPreference .
En la configuración del Windows Defender, el IPS, la comprobación del disco extraíble, el correo electrónico y algunas otras comprobaciones están desactivadas por defecto. Por ejemplo, es necesario habilitar el análisis de las unidades extraíbles. Obtengamos la configuración actual usando el comando:
Get-MpPreference | fl disable*
Como puede ver, el escaneo de unidades extraíbles está desactivado (DisableRemovableDriveScanning = True). Enciéndelo con el siguiente comando:
Set-MpPreference -DisableRemovableDriveScanning $false
Por defecto, Windows Defender no comprueba los archivos de archivo (RAR, ZIP, CAB), que pueden contener potencialmente archivos maliciosos. Puede habilitar la comprobación de los archivos de almacenamiento ejecutándose:
Set-MpPreference -DisableArchiveScanning 0
Después de eso, Windows Defender comenzará a escanear todos los archivos abiertos en tiempo real, así como al escanear un disco.
Además, para cambiar o eliminar la configuración del antivirus, puedes usar Add-MpPreference y Remove-MpPreference cmdlets. Por ejemplo, añadamos algunas carpetas a la ruta de exclusión del antivirus:
Add-MpPreference -ExclusionPath C:Video, C:Ninstall
Mostrar una lista de excepciones de ruta para Windows Defender:
Get-MpPreference | fl excl*
Para excluir el análisis antivirus de ciertos procesos, ejecute el siguiente comando:
Set-MpPreference -ExclusionProcess "word.exe", "vmwp.exe"
Para eliminar una excepción para un directorio en particular:
Remover-MpPreference -ExclusionPath C:install
Windows Defender tiene una función oculta para proteger los programas no deseados (Potentially Unwanted Program-PUP, Potentially Unwanted Application-PUA). De forma predeterminada, sólo se puede acceder a él en la edición Windows 10 Enterprise, pero con la ayuda del siguiente comando se puede activar la protección PUP/PUA en cualquier edición de Windows 10:
Set-MpPreference -PUAProtection 1
Después de activar la protección, cuando intente iniciar o instalar programas potencialmente no deseados en el equipo, recibirá la siguiente notificación de Defender en Windows 10.
LEER TAMBIÉN usando múltiples escritorios en Windows 10
Windows Defender tomó medidas
Su configuración hizo que el antivirus de Windows Defender bloqueara una aplicación que potencialmente podría realizar acciones no deseadas en su dispositivo.
Usando UpdateSource Argumento
Para iniciar la actualización de la firma del antivirus, puedes usar el comando Update-MpSignature . De forma predeterminada, Windows Defender se actualiza con la configuración estándar del equipo, pero el uso del argumento UpdateSource permite especificar el lugar exacto en el que desea realizar las actualizaciones de definiciones de virus.
Se dispone de las siguientes fuentes:
- MicrosoftUpdateServer
- MMPC Centro de Protección contra el Malware de Microsoft;
- FileShares
- InternalDefinitionUpdateServer – servidor interno WSUS
Para actualizar el antivirus desde el intercambio de archivos, en primer lugar es necesario descargar los archivos de actualización de definiciones necesarias de https://www.microsoft.com/security/portal/definitions/adl.aspx y colocarlos en la carpeta de red compartida en un servidor de archivos de su red. A continuación, debe especificar que Windows Defender debe actualizarse desde una carpeta compartida de red (utilice la ruta UNC):
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources N -DESKTOP-V20E3PO Actualizaciones
Para ejecutar manualmente la actualización de virus y definiciones de malware:
Update-MpSignature -UpdateSource FileShares
Update-MpSignature
En algunos casos, tras recibir una actualización incorrecta, es posible que Windows Defender no funcione correctamente. En este caso, se recomienda restablecer las bases de datos de definición de hilos actuales y volver a cargarlas desde el origen:
<"Archivos de programas" "Windows Defender" "MPCMDRUN.exe" -Quitar definiciones -Todos
"%PROGRAMFILES%NWindows DefenderNMPCMDRUN.exe" -SignatureUpdate
Para realizar un escaneo antivirus de su ordenador utilice el cmdlet Start-MpScan . Con el argumento ScanType, puedes elegir uno de los tres modos de escaneo:
- FullScan – se realiza un escaneo de todos los archivos de su ordenador, así como del registro del sistema y de las aplicaciones que se están ejecutando actualmente;
- QuickScan – análisis sólo de las áreas que con mayor probabilidad pueden estar infectadas por malware (registro,RAM activa, carpetas del sistema);
- CustomScan – el usuario selecciona las carpetas y unidades a ser escaneadas.
Por ejemplo, ejecute un escaneo personalizado para comprobar la carpeta de sistema «C:Archivos de programa»:
Start-MpScan -ScanType CustomScan -ScanPath "C:Program Files"
Todos los cmdlets del módulo Defender pueden realizarse tanto para los ordenadores locales como para los remotos. Para conectarse al ordenador remoto es necesario utilizar la opción CimSession . Por ejemplo, para obtener la fecha del último análisis del ordenador remoto con el nombre de host lnd_wks21, ejecute los siguientes comandos (WimRM debe estar activado):
$session = NewCimSession -ComputerName lnd_wks21 Get-MpComputerStatus -CimSession $session | fl fullscan*
Deshabilitar Windows Defender con PowerShell
Si quieres desactivar la protección en tiempo real del Defender:
Set-MpPreference -DisableRealtimeMonitoring $true
Para desactivar completamente el Windows Defender en un ordenador, utilice el comando:
New-ItemProperty -Path "HKLM:SOFTWAREPoliciesNMicrosoftNWindows Defender" -Nombre DisableAntiSpyware -Valor 1 -PropertyType DWORD -Force
en windows 10 22H2 no funciona este comando en PowerShell
New-ItemProperty -Path «HKLM:SOFTWAREPoliciesNMicrosoftNWindows Defender» -Nombre DisableAntiSpyware -Valor 1 -PropertyType DWORD -Force