0x00 Windows Defender
真烦
最近装了不少虚拟机,发现目前较新版本的windows Defender
是真的烦,关了一段时间后,自己又打开。特别是装了域控后的winserver 2016
,半都关不掉,做个实验是真烦。
顺手去查了下如何使用powershell
搞定Windows Defneder
,记录一下,以备查用。
0x01 powershell
好使
powershell.exe Get-MpPreference //查看Defender配置
把重要的几个选项作了注释。
C:\Windows\system32>powershell.exe Get-MpPreference
CheckForSignaturesBeforeRunningScan : False
ComputerID : 4AD8F002-2FA4-48CA-BA56-528BCAF23B16
DisableArchiveScanning : False
DisableAutoExclusions : False
DisableBehaviorMonitoring : False //行为监视
DisableBlockAtFirstSeen : False
DisableCatchupFullScan : True
DisableCatchupQuickScan : True
DisableEmailScanning : True
DisableIntrusionPreventionSystem : //是否启用入侵防范系统 (IPS)
DisableIOAVProtection : False //读取/写入操作期间对I/O访问进行检查和拦截
DisablePrivacyMode : False
DisableRealtimeMonitoring : True //实时保护
DisableRemovableDriveScanning : True
DisableRestorePoint : True
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles : False //扫描网络文件
DisableScriptScanning : False
ExclusionExtension :
ExclusionPath :
ExclusionProcess :
HighThreatDefaultAction : 0
LowThreatDefaultAction : 0
MAPSReporting : 2
ModerateThreatDefaultAction : 0
PUAProtection : 0
QuarantinePurgeItemsAfterDelay : 90
RandomizeScheduleTaskTimes : True
RealTimeScanDirection : 0
RemediationScheduleDay : 0
RemediationScheduleTime : 02:00:00
ReportingAdditionalActionTimeOut : 10080
ReportingCriticalFailureTimeOut : 10080
ReportingNonCriticalTimeOut : 1440
ScanAvgCPULoadFactor : 50
ScanOnlyIfIdleEnabled : True
ScanParameters : 1
ScanPurgeItemsAfterDelay : 15
ScanScheduleDay : 0
ScanScheduleQuickScanTime : 00:00:00
ScanScheduleTime : 02:00:00
SevereThreatDefaultAction : 0
SignatureAuGracePeriod : 1440
SignatureDefinitionUpdateFileSharesSources :
SignatureDisableUpdateOnStartupWithoutEngine : False
SignatureFallbackOrder : MicrosoftUpdateServer|MMPC
SignatureFirstAuGracePeriod : 120
SignatureScheduleDay : 8
SignatureScheduleTime : 01:45:00
SignatureUpdateCatchupInterval : 1
SignatureUpdateInterval : 0
SubmitSamplesConsent : 1 //自动提交未知文件以进行分析
ThreatIDDefaultAction_Actions :
ThreatIDDefaultAction_Ids :
UILockdown : False
UnknownThreatDefaultAction : 0
PSComputerName :
可以使用powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true
命令来进行关闭实时保护功能,这里本来就已经关闭了,演示关闭自动提交未知样本功能。
powershell.exe Set-MpPreference -SubmitSamplesConsent 0 //这里用0和2好像都行,组管理策略里面有答案
可以看到已经成功关闭,如果上述命令无法生效时,需要先关闭篡改防护。
也可以尝试使用注册表命令reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f
来进行关闭
世界清静了,真好。