Get-MpComputerStatus — проверка статуса Microsoft Defender

PowerShell — мощный инструмент администрирования Windows. Командлет Get-MpComputerStatus показывает текущее состояние встроенного антивируса Microsoft Defender (ранее Windows Defender). Этот краткий гид объяснит, что делает команда, какие параметры у неё есть, как её запускать локально и удалённо, а также как устранять распространённые проблемы.

Что такое Get-MpComputerStatus?

• Get-MpComputerStatus — это командлет PowerShell из набора команд для Microsoft Defender.
• Он возвращает свойства и состояние антивредоносного ПО на компьютере.
• Команду можно выполнить на удалённой машине через CIM-сессии или другие удалённые механизмы.

Краткое определение: Get-MpComputerStatus — команда для получения статуса Microsoft Defender в виде набора булевых флагов и служебной информации.

Свойства и параметры

Наиболее важные параметры командлета:

• -AsJob — запускает командлет как фоновое задание.
• -CimSession — выполняет командлет на удалённом компьютере через CIM-сессию.
• -ThrottleLimit — ограничивает число параллельных операций.

Типичный набор возвращаемых полей включает (но не ограничивается): AntivirusEnabled, AntispywareEnabled, RealTimeProtectionEnabled, IoavProtectionEnabled, NISEnabled, OnAccessProtectionEnabled.

Важно: для выполнения командлета часто требуются права администратора и установленный компонент Microsoft Defender.

Как проверить статус Defender с помощью Get-MpComputerStatus?

Используйте PowerShell

1. Откройте окно поиска Windows (Windows + S).
2. Введите PowerShell в строку поиска.
3. Правой кнопкой мыши кликните по Windows PowerShell и выберите Запуск от имени администратора.

4. Выполните команду:

Get-MpComputerStatus

5. PowerShell выведет список свойств Microsoft Defender. Пример формата вывода:

AMServiceEnabled        : True
AntispywareEnabled      : True
AntivirusEnabled        : True
IoavProtectionEnabled   : True
NISEnabled              : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

Убедитесь, что следующие свойства включены (True):

• AntispywareEnabled
• AntivirusEnabled
• IoavProtectionEnabled
• NISEnabled
• OnAccessProtectionEnabled
• RealTimeProtectionEnabled

Если все перечисленные флаги равны True — защитные компоненты Microsoft Defender активны.

Примеры использования

Локально:

# Получить статус локального компьютера
Get-MpComputerStatus

На удалённом компьютере через CIM-сессию:

# Создать CIM-сессию и получить статус удалённой машины
$session = New-CimSession -ComputerName "REMOTE-PC"
Get-MpComputerStatus -CimSession $session
Remove-CimSession $session

В фоновом режиме (например, при опросе большого числа хостов):

Get-MpComputerStatus -AsJob

Альтернативный способ — использовать удалённое выполнение (Invoke-Command) если CIM недоступен:

Invoke-Command -ComputerName "REMOTE-PC" -ScriptBlock { Get-MpComputerStatus }

Устранение неполадок и когда команда может не дать ожидаемого результата

• Права: командлет часто требует запуска PowerShell от имени администратора. Если вы видите отказ в доступе — перезапустите с повышенными правами.
• Отсутствие Defender: на системах с полностью удалённым или заменённым антивирусом командлет может вернуть пустой или ограниченный набор полей.
• Сторонний антивирус: если установлен сторонний продукт, Microsoft Defender может быть выключен политиками, и соответствующие флаги будут False.
• Служба Defender: проверьте службу WinDefend:

Get-Service -Name WinDefend

Если служба остановлена, запустите её или проверьте политики безопасности и журналы.

Важно: если вы не уверены, почему защита отключена, проверьте групповые политики (gpedit.msc) и записи в «Просмотр событий» (Event Viewer).

Альтернативные подходы

• Графический интерфейс: Откройте «Безопасность Windows» (Windows Security) → «Защита от вирусов и угроз».
• WMI/CIM: можно опрашивать класс AntiVirusProduct в пространстве имён root\SecurityCenter2 для получения информации о всех AV-продуктах:

Get-CimInstance -Namespace "root/SecurityCenter2" -ClassName AntiVirusProduct

• Централизованный мониторинг: в корпоративной среде используйте инструменты EDR/SCCM/Intune для агрегации статусов на множестве хостов.

Ролевые чек-листы

Администратор:

• Запустить PowerShell от администратора.
• Выполнить Get-MpComputerStatus и сохранить результаты.
• При необходимости опросить несколько хостов через CIM/Invoke-Command.

Сотрудник поддержки:

• Спросить, установлено ли стороннее антивирусное ПО.
• Проверить статус службы WinDefend.
• Сообщить администратору о найденных False-полях.

Аудитор безопасности:

• Собирать результаты для всех критичных хостов.
• Проверять соответствие политик безопасности требованиям.

Критерии приёмки

• Все ключевые флаги (AntivirusEnabled, RealTimeProtectionEnabled и т. п.) должны быть True на рабочих станциях и серверных узлах, где ожидается использование Defender.
• Служба WinDefend должна быть в состоянии Running.
• Для хостов с сторонним AV — документированная причина и политика исключения.

Быстрый чек-лист для диагностики

1. Запустите PowerShell от администратора.
2. Выполните Get-MpComputerStatus.
3. Если False — проверьте Get-Service WinDefend.
4. Проверьте политики групп и наличие стороннего AV.
5. При необходимости запросите логи событий.

Короткая сводка

Get-MpComputerStatus — простой и быстрый способ получить текущее состояние Microsoft Defender. Его удобно использовать как локально, так и для удалённого опроса хостов. Если защита отключена, проверяйте права, службу WinDefend и влияние стороннего ПО.

Примечание: всегда выполняйте команды с учётом политик безопасности вашей организации. Если вы управляете большим парком машин, автоматизируйте опрос с помощью CIM-сессий или централизованных систем управления.