آموزش آنتی ویروس Windows Defender در ویندوز سرور 2016
همانند سایر نسخه های سیستم عامل ویندوز در ویندوز سرور 2016 نیز آنتی ویروس Windows Defender موجود است که بصورت پیش فرض در ویندوز نصب و فعال شده است و توسط شرکت مایکروسافت آپدیت می شود. ما در این مقاله میخواهیم نگاهی دقیق تر به این آنتی ویروس بیندازیم و نحوه کار با آن را یاد بگیریم و بتوانیم در شبکه آنرا مدیریت کنیم. بصورت پیش فرض در ویندوز سرور 2016 موتور آنتی ویروس Windows Defender نصب شده ولی برای اینکه بتوانید با کنسول گرافیکی آن کار کنید باید کامپوننت GUI for Windows Defender را بصورت دستی در ویندوز سرور 2016 توسط کنسول مدیریتی Server Manager نصب کنید. شما با استفاده از PowerShell نیز میتوانید این Component را نصب کنید. برای انجام این کار دستور زیر را در PowerShell اجرا کنید :
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
Install-WindowsFeature -Name Windows-Defender-GUI
برای غیر فعال سازی این Component نیز دستور زیر را در PowerShell اجرا کنید :
Uninstall-WindowsFeature -Name Windows-Defender-GUI
Uninstall کردن Windows Defender در ویندوز سرور 2016
در ویندوز 10 وقتی شما یک آنتی ویروس Third-Party مثل McAfee ، Kaspersky ، Symantec و ... نصب می کنید Windows Defender غیر فعال می شود. با این حال در این گونه مواقع این اتفاق در ویندوز سرور 2016 نمی افتد و Windows Defender همچنان فعال باقی میماند و شما بایستی بصورت دستی در ویندوز سرور 2016 موتور آنتی ویروس Windows Defender را غیر فعال کنید. در بیشتر موارد پیشنهاد نمی شود که بصورت همزمان از چند آنتی ویروس در سیستم کلاینت و یا در ویندوز سرور استفاده نمایید. شما با استفاده از دستور زیر Windows Defender را از ویندوز سرور 2016 کلا میتوانید حذف کنید :
Uninstall-WindowsFeature -Name Windows-Defender
نکته : با استفاده از دستور زیر نیز میتوانید Windows Defender را نصب کنید :
Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI
Windows-Defender-Features همان موتور اصلی Windows Defender است و Windows-Defender-GUI همان کنسول گرافیکی برای مدیریت Windows Defender می باشد.
مدیریت Windows Defender با استفاده از دستورات PowerShell
در این جا به معرفی برخی از دستورات مهم PowerShell برای مدیریت Windows Defender میپردازیم. با استفاده از دستور زیر میتوانید وضعیت فعال بودن یا نبودن سرویس Windows Defender را بررسی کنید :
Get-Service WinDefend
در خروجی در ستون Status اگر نوشته باشد Running یعنی سرویس Windows Defender در حال کار است.
با استفاده از دستور زیر میتوانید وضعیت و تنظیمات فعلی آنتی ویروس Windows Defender را مشاهده کنید :
Get-MpComputerStatus
در خروجی دستور بالا نسخه Windows Defender ، ساعت و تاریخ آخرین آپدیت دیتابیس آن ، Component های فعال آن ، زمان آخرین اسکن آن و سایر اطلاعات مفید را مشاهده کنید.
با استفاده از دستور زیر میتوانید قابلیت Real-Time Protection را در Windows Defender غیر فعال کنید :
Set-MpPreference -DisableRealtimeMonitoring $true
به زبان ساده قابلیت Real-Time Protection سیستم را بصورت بلادرنگ و در لحظه مانیتور می کند و اگر فایل یا Object مشکوکی پیدا کرد آن را قرنطینه می کند تا سیستم آلوده نشود. بعد از اجرای دستور فوق Windows Defender دیگر هیچ فایلی که توسط سیستم پردازش شده است را اسکن نخواهد کرد. با دستور زیر نیز میتوانید Real-Time Protection را فعال کنید :
Set-MpPreference -DisableRealtimeMonitoring $false
به عنوان مثالی دیگر اگر بخواهید فلش درایو ها یا بصورت کلی USB Storage ها را اسکن کنید باید دستور زیر را اجرا کنید :
Set-MpPreference -DisableRemovableDriveScanning $false
حالا اگر دستور زیر را اجرا کنید در مقابل پارامتر DisableRemovableDriveScanning باید False نوشته شده باشد :
Get-MpPreference | fl disable*
این به معنای آن است که Windows Defender فلش درایو ها را اسکن خواهد کرد.
با اجرای دستور زیر میتوانید تمامی CMDLET ماژول های Windows Defender را مشاهده کنید :
Get-Command -Module Defender
Exclude کردن فایل ها و پوشه ها از اسکن شدن توسط Windows Defender
شما میتوانید Exclusion هایی را بر اساس پسوند فایل و اسم فایل و یا دایرکتوری تعریف کنید تا از اسکن شدن اتوماتیک توسط Windows Defender جلوگیری شوند. یک ویژگی خوب که Windows Defender در ویندوز سرور 2016 دارد آن است که وقتی Role یا Feature ای نصب می کنید فایل ها و پوشه های آن توسط Windows Defender اسکن نمی شوند و بصورت خودکار در لیست Exclusion آن قرار میگیرند. نکته اینکه همچنین شما باید این شرایط را قبول کنید که زمانی که رول Hyper-V را در ویندوز سرور 2016 نصب می کنید فایل های ماشین های مجازی نظیر فایل VHD ، فایل های Snapshot و سایر فایل های ماشین های مجازی از اسکن شدن توسط Windows Defender خودداری شوند. برای اضافه کردن دایرکتوری های اضافی به لیست Exclusion ها از دستور زیر میتوانید استفاده کنید. برای مثال :
Set-MpPreference -ExclusionPath "C:\Tosinso", "C:\VM", "C:\Nano"
برای Exclude کردن تعدادی Process از اسکن شدن از دستور زیر میتوانید استفاده کنید. برای مثال :
Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"
آپدیت کردن Windows Defender Definitions
Windows Defender بصورت اتوماتیک زمانی که ویندوز را از طریق اینترنت آپدیت می کنیم آپدیت می شود. اگر شما در داخل سازمان خود WSUS Server راه اندازی کرده باشید Windows Defender آپدیت هایش را از سرور WSUS خواهد گرفت. آپدیت های Windows Defender در کنسول WSUS تحت عنوان Definition Updates نمایش داده می شوند که در واقع Signature Update های Database آنتی ویروس Windows Defender هستند. در برخی مواقع Windows Defender ممکن است پس از دریافت یک آپدیت معیوب به درستی کار نکند در این صورت باید دیتابیس فعلی این آنتی ویروس را ریست کنید و آپدیت ها را مجددا دانلود کنید. دستورات زیر را باید اجرا کنید :
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All "%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" –SignatureUpdate
امیدوارم این آموزش مورد توجه شما قرار گرفته باشد.