在 Windows Server 2019 和 2016 上使用 Windows Defender 防病毒软件

Windows Defender 防病毒软件是 Microsoft 的免费内置防病毒软件，默认安装在 Windows Server 2016 和 2019 上（自 Windows 10 2004 起，使用名称 Microsoft Defender）。在本文中，我们将了解 Windows Server 2019/2016 上的 Windows Defender 的功能。

在 Windows Server 上启用 Windows Defender GUI

Windows Server 2016和2019（包括Core版本）内置了Windows Defender Antivirus引擎。您可以使用PowerShell检查是否安装了Windows Defender Antivirus：

Get-WindowsFeature | Where-Object {$_. name -like "*defender*"} | ft Name,DisplayName,Installstate

但是，默认情况下，Windows Server 2016 中没有 Windows Defender 防病毒 GUI。您可以通过服务器管理器控制台在 Windows Server 2016 上安装 Windows Defender 图形界面（添加角色和功能 -> 功能 -> Windows Defender 功能 -> Windows Defender GUI 功能）。

或者，您可以使用 PowerShell 启用 Windows Defender 防病毒 GUI：

Install-WindowsFeature -Name Windows-Defender-GUI

要卸载 Defender GUI，请使用以下 PowerShell 命令：

Uninstall-WindowsFeature -Name Windows-Defender-GUI

在 Windows Server 2019 中，Defender GUI 基于 APPX 应用程序，可通过 Windows Security 应用程序（设置 -> 更新和安全）进行访问。

Windows Defender 通过“病毒和威胁防护”菜单进行配置。

如果您无法打开 Defender 设置菜单，并且当您运行 Windows 安全小程序时，您会收到错误“

You’ll need a new app to open this windowsdefender

”，您需要使用清单文件通过以下 PowerShell 命令重新注册 APPX 应用程序：

Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"

如果 UWP (APPX) 应用程序被完全删除，您可以手动恢复它，类似于恢复 Microsoft Store 应用程序。

如何在 Windows Server 2019 和 2016 上卸载 Windows Defender 防病毒软件？

在 Windows 10 中，当您安装任何第三方防病毒软件（McAfee、Norton、Avast、Kaspersky、Symantec 等）时，内置的 Windows Defender 防病毒软件将被禁用。然而，这在 Windows Server 中不会发生。您必须手动禁用内置防病毒引擎（在大多数情况下，不建议在一台计算机或服务器上同时使用多个防病毒程序）。

您可以使用服务器管理器或使用以下 PowerShell 命令卸载 Windows Server 2019/2016 中的 Windows Defender：

Uninstall-WindowsFeature -Name Windows-Defender

如果服务器上没有其他防病毒软件，请勿卸载 Windows Defender。

您可以使用以下命令安装 Windows Defender 服务：

Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI

使用 PowerShell 管理 Windows Defender 防病毒软件

让我们考虑一下可用于管理 Windows Defender 防病毒软件的典型 PowerShell 命令。

您可以使用以下 PowerShell 命令确保 Windows Defender 防病毒服务是否正在运行：

Get-Service WinDefend

如您所见，服务已启动（状态 -

Running

）

Windows Defender 服务无法在 Windows 10 上运行的部分原因在 Windows Defender 威胁服务已停止一文中进行了描述。

您可以使用以下 cmdlet 显示 Defender 的当前状态和设置：

Get-MpComputerStatus

该 cmdlet 显示最新防病毒数据库更新的版本和日期（AntivirusSignatureLastUpdated、AntispywareSignatureLastUpdated）、启用的防病毒组件、上次扫描时间 (QuickScanStartTime) 等。

您可以按如下方式禁用 Windows Defender 实时保护：

Set-MpPreference -DisableRealtimeMonitoring $true

执行该命令后，防病毒软件不会实时扫描操作系统或用户打开的所有文件。

以下是启用实时防病毒保护的方法：

Set-MpPreference -DisableRealtimeMonitoring $false

例如，您需要启用对外部 USB 存储设备的扫描。使用命令获取当前设置：

Get-MpPreference | fl disable*

如果 USB 驱动器扫描被禁用 (

DisableRemovableDriveScanning = True

），您可以使用以下命令启用扫描：

Set-MpPreference -DisableRemovableDriveScanning $false

可以使用以下命令显示 Windows Defender 模块中 PowerShell cmdlet 的完整列表：

Get-Command -Module Defender

如何从 Windows Defender 防病毒扫描中排除文件和文件夹？

您可以设置排除列表 - 这些是要从自动 Windows Defender 防病毒扫描中排除的名称、文件扩展名和目录。 Windows Server 2019/2016 中 Windows Defender 的特点是根据安装的 Windows Server 角色和功能自动生成应用的排除列表。

例如，如果安装了 Hyper-V 角色，则以下对象将添加到 Defender 排除列表中：虚拟磁盘和差异磁盘、VHDS 磁盘（*.vhd、*.vhdx、*.avhd）、快照、Hyper-V 文件夹和进程（Vmms.exe、Vmwp.exe）。

如果要在 Windows Server 上禁用 Microsoft Defender 自动排除，请运行以下命令：

Set-MpPreference -DisableAutoExclusions $true

要手动将特定目录添加到防病毒排除列表中，请运行以下命令：

Set-MpPreference -ExclusionPath "C:\ISO", "C:\VM", "C:\Nano"

要排除某些进程的防病毒扫描，请使用以下命令：

Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"

通过 PowerShell 从远程计算机获取 Windows Defender 状态报告

您可以使用 PowerShell 从远程计算机获取 Microsoft Defender 防病毒状态。以下简单脚本将查找 AD 域中的所有 Windows Server 主机，并通过 WinRM 获取 Defender 状态（使用 Invoke-Command cmdlet）：

$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderinfo= Invoke-Command $server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled,RealTimeProtectionEnabled,AntivirusSignatureLastUpdated,QuickScanAge,FullScanAge}
If ($defenderinfo) {
$objReport = [PSCustomObject]@{
User = $defenderinfo.PSComputername
Antivirusenabled = $defenderinfo.Antivirusenabled
RealTimeProtectionEnabled = $defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated = $defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge = $defenderinfo.QuickScanAge
FullScanAge = $defenderinfo.FullScanAge
}
$Report += $objReport
}
}
$Report|ft

要获取有关防病毒检测的信息，您可以使用以下 PowerShell 脚本：

$Report = @()
$servers = Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderalerts= Invoke-Command $server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser,ProcessName,InitialDetectionTime ,CleaningActionID,Resources }
If ($defenderalerts) {
foreach ($defenderalert in $defenderalerts) {
$objReport = [PSCustomObject]@{
Computer = $defenderalert.PSComputername
DomainUser = $defenderalert.DomainUser
ProcessName = $defenderalert.ProcessName
InitialDetectionTime = $defenderalert.InitialDetectionTime
CleaningActionID = $defenderalert.CleaningActionID
Resources = $defenderalert.Resources
}
$Report += $objReport
}
}
}
$Report|ft

该报告显示受感染文件的名称、执行的操作、用户和所有者进程。

更新 Windows Defender 防病毒定义

Windows Defender 防病毒软件可以从 Windows 更新服务器自动在线更新。如果您的网络中有内部 WSUS 服务器，Microsoft 防病毒软件可以从中接收更新。您只需确保更新的安装已在 WSUS 服务器上获得批准（Windows Defender 防病毒更新在 WSUS 控制台中称为定义更新），并且客户端使用 GPO 定位到正确的 WSUS 服务器。

在某些情况下，Windows Defender 在获得损坏的更新后可能无法正常工作。然后建议重置当前定义数据库并重新下载：

"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -SignatureUpdate

如果您的 Windows Server 无法直接访问 Internet，您可以从网络文件夹更新 Microsoft Defender。

手动下载 Windows Defender 更新 (https://www.microsoft.com/en-us/wdsi/defenderupdates) 并将其放置到共享网络文件夹中。设置包含 Defender 更新的共享文件夹的路径：

Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \mun-fs01\Defender

运行防病毒定义更新：

Update-MpSignature -UpdateSource FileShares

使用组策略配置 Windows Defender

您可以使用组策略管理计算机和服务器上的基本 Microsoft Defender 设置。使用以下 GPO 部分：计算机配置 -> 管理模板 -> Windows 组件 -> Windows Defender 防病毒。

本部分提供了 100 多个用于管理 Microsoft Defender 设置的不同选项。

例如，要完全禁用防病毒软件，您必须启用 GPO 参数“关闭 Windows Defender 防病毒软件”。

有关可用 Defender 组策略设置的更多信息，请参阅此处。 https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/use-group-policy-microsoft-defender-antivirus

Windows Defender 集中管理可通过 Azure 安全中心 (ASC) 门户上的高级威胁防护进行付费订阅（每台主机每月约 15 美元）。