Включение автосканирования USB в Microsoft Defender

Важно: функция активна только если вы используете Microsoft Defender как основной антивирус. Третьи стороны могут перехватывать обработку дисков и отключать автосканирование.

Кратко о проблеме

Microsoft Defender обычно хорошо защищает Windows‑ПК, но он не включает автосканирование USB‑накопителей по умолчанию. Более ранние версии имели такую опцию в настройках, однако в современных сборках Windows этот переключатель убран из UI. Причины официально не объяснены; наиболее вероятная — риск повреждения или потери данных, если диск будет отключён во время сканирования.

Если включена функция «Защита в реальном времени», файлы на подключаемом носителе будут проверяться при запуске. Это помогает, но иногда слишком поздно — вредоносный код может быть выполнен до обнаружения. Поэтому автосканирование при подключении остаётся полезной дополнительной мерой.

Что делает включение автосканирования

После включения Defender попытается автоматически запускать проверку при подключении съёмного носителя. Уведомления о старте или прогрессе такого автоматического сканирования обычно не показываются; вы увидите уведомление только при обнаружении угрозы. Индикатор активности на самом USB‑накопителе иногда даёт визуальную подсказку о сканировании (светодиод дольше горит/мигает).

Как включить автоматическое сканирование USB (пошагово)

Перед началом: создайте резервную копию реестра (Экспорт в .reg) или точку восстановления системы.

1. Откройте Редактор реестра: введите Regedit в поиске Windows и запустите найденное приложение. Не обязательно выбирать «Запуск от имени администратора» при обычном редактировании, но если у вас нет прав, потребуются права администратора.
2. Если не видно адресную строку, включите её: View > Address Bar.
3. Перейдите по пути (вставьте в адресную строку):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

4. Щёлкните правой кнопкой по разделу Windows Defender в левой панели, выберите New > Key и назовите новый ключ Scan.

5. Выделите ключ Scan, затем щёлкните правой кнопкой в правой панели и создайте новое значение DWORD (32-bit).
6. Переименуйте созданное значение в DisableRemovableDriveScanning — используйте точное написание.
7. Дважды щёлкните по DisableRemovableDriveScanning и установите «Value data» равным 0, затем нажмите OK.

После этого можно закрыть Редактор реестра. Автосканирование должно стать активным. Если вы используете сторонний антивирус, он может блокировать или заменять поведение Windows Defender; в таком случае проверьте настройки вашего антивируса.

Альтернативные подходы

• Использовать ручное сканирование через пользовательский скан (Custom scan) в интерфейсе Защитника. Это позволяет выбирать файлы вручную, но неудобно при большом количестве файлов.
• На предприятии: применять групповую политику (GPO) или Microsoft Endpoint Manager для централизованного управления политиками безопасности и сканированием съёмных носителей.
• Установить сторонний антивирус с поддержкой автопроверки съёмных носителей — проверьте документацию вендора.

Когда включение не поможет

• Если на машине установлен сторонний AV, он может блокировать работу Defender и автосканирование будет неактивно.
• Ограниченная периодическая проверка (Limited Periodic Scanning) не включает автосканирование USB.
• Если пользователь физически отключит диск во время проверки, сканирование прервётся и может вызвать повреждение данных.

Риски и меры предосторожности

Важное замечание: прерывание процесса сканирования (физическое отключение USB) может привести к потере или порче данных. Всегда извлекайте накопитель через безопасное извлечение после завершения операций записи и проверки.

• Риск: потеря данных при отключении во время сканирования.
  Митигирование: делайте резервные копии данных и оповещайте пользователей не извлекать носитель сразу после подключения.
• Риск: несовместимость с третьим ПО.
  Митигирование: тестируйте поведение на контрольной машине перед массовым развёртыванием.

Быстрая проверка (SOP) для домашнего пользователя

1. Создать точку восстановления или экспортировать реестр.
2. Открыть Regedit и перейти к HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender.
3. Создать ключ Scan и DWORD DisableRemovableDriveScanning со значением 0.
4. Подключить USB и наблюдать за индикатором активности; при обнаружении угроз следовать подсказкам Защитника (карантин/удаление).
5. Если проблемы — вернуть экспортированный .reg или точку восстановления.

Критерии приёмки

• На контрольной машине автосканирование запускается при подключении USB (визуально или по обнаружению угроз).
• Нет явных ошибок в журнале событий Windows, связанных с Defender.
• Файлы не теряются при обычном использовании (тест с небольшим набором файлов).

Роли и чек‑листы

Home user:

• Сделать резервную копию реестра; включить автосканирование; проверить с одним накопителем.

IT администратор:

• Тестировать в контролируемой среде; документировать процесс отката; уведомить пользователей о рисках.

Инженер по безопасности:

• Оценить взаимодействие с EDR/AV третьих сторон; включить централизованный мониторинг обнаружений.

Модель принятия решения (Mermaid)

flowchart TD
  A[Нужно автосканирование USB?] -->|Да| B[Имеется Microsoft Defender как основной AV?]
  A -->|Нет| Z[Оставить как есть]
  B -->|Да| C[Сделать резервную копию реестра и включить ключ]
  B -->|Нет| D[Рассмотреть настройку стороннего AV или GPO]
  C --> E[Протестировать на тестовом накопителе]
  D --> E
  E --> F{Проблемы?}
  F -->|Нет| G[Внедрить в рабочую среду]
  F -->|Да| H[Откатить изменения и анализ]

Фактическая сводка (без цифр)

• Время проверки зависит от объёма и количества файлов — от секунд до длительного времени при больших объёмах.
• Автосканирование уменьшает риск распространения инфекции через съёмные носители, но не исключает необходимость других мер защиты.

Часто задаваемые вопросы

Вопрос: Нужно ли запускать Regedit от имени администратора?

Открыть Regedit можно без «Запуск от имени администратора», но права администратора потребуются для изменения ключей в HKEY_LOCAL_MACHINE на многих системах.

Вопрос: Как отменить изменения?

Верните экспортированный .reg файл или удалите ключ Scan/DisableRemovableDriveScanning из реестра и перезагрузите систему.

Вопрос: Автосканирование замедлит работу компьютера?

Сканирование при подключении может вызвать увеличение активности диска и CPU на время проверки. На большинстве современных ПК влияние минимально, но на старых системах это будет заметно.

Концовка — что запомнить

Автосканирование USB в Microsoft Defender можно включить через реестр, но делайте это осознанно: заранее резервируйте данные и оцените совместимость с другими средствами защиты. Для массовых развертываний используйте централизованные политики и тестирование.

Итоговые рекомендации:

• Сделайте резервную копию реестра;
• Включайте функцию сначала на тестовой машине;
• Информируйте пользователей о рисках безопасного извлечения.