Управление Microsoft Defender через PowerShell

Microsoft Defender (ранее Windows Defender) — встроенный антивирус Windows 10, который предоставляет средства реального времени и веб-защиту от вирусов, троянов и другого вредоносного ПО. Как нативное приложение Microsoft, Defender можно управлять через Windows PowerShell. Это даёт быстрый доступ к параметрам, которые отсутствуют в графическом интерфейсе, и ускоряет массовое развертывание изменений.

Важно: прежде чем запускать глубинные проверки или офлайн-сканирование, сохраните открытые файлы и уведомьте пользователей — некоторые процедуры могут перезагрузить систему.

Что такое PowerShell?

PowerShell — современная кроссплатформенная оболочка и язык сценариев, сочетает в себе интерфейс командной строки, фреймворк конфигурации и возможности автоматизации. Коротко: PowerShell позволяет безопасно и воспроизводимо управлять Windows и другими ОС из терминала.

Краткие определения:

• cmdlet — встроенная команда PowerShell, например Get-MpComputerStatus.
• Сигнатуры — базы определений вредоносного ПО, которые обновляются для обнаружения новых угроз.

Как запустить PowerShell в Windows 10:

1. Нажмите Пуск.
2. Введите “windows powershell” в поле поиска.
3. Правой кнопкой мыши кликните Windows PowerShell.
4. Выберите Запуск от имени администратора.

Проверка состояния Microsoft Defender с помощью PowerShell

Перед изменениями проверьте текущее состояние защитного ПО. Открыв PowerShell от имени администратора, выполните:

Get-MpComputerStatus

Команда вернёт подробную информацию о службе. Обратите внимание на поле AntivirusEnabled — если оно True, антивирус включён и работает. Полезные поля: LastSignatureUpdateTime, AMProductVersion, RealTimeProtectionEnabled.

Если AntivirusEnabled = False или RealTimeProtectionEnabled = False, вы можете включить защиту следующей командой:

Set-MpPreference -DisableRealtimeMonitoring $false

Проверить состояние сервиса Microsoft Defender можно также так:

Get-Service -Name WinDefend
Start-Service -Name WinDefend

Примечание: для корпоративных машин политики групп (GPO) или сторонние антивирусы могут блокировать включение Defender. В таких случаях сначала проверьте групповые политики и конфликтующее ПО.

Обновление Microsoft Defender через PowerShell

Регулярные обновления сигнатур критичны. Обновление выполняется одной командой:

Update-MpSignature

Эта команда загрузит и установит последние определения от источника обновлений по умолчанию (Microsoft Update). Если нужно указать конкретный источник, используйте:

Update-MpSignature -UpdateSource SourceName

Для планирования ежедневной проверки обновлений определений можно установить расписание так:

Set-MpPreference -SignatureScheduleDay Everyday

Совет: если обновления не загружаются, проверьте подключение к Windows Update и настройки прокси/фаервола в сети.

Быстрое сканирование через PowerShell

Для быстрой проверки большинства активных областей используйте QuickScan:

Start-MpScan -ScanType QuickScan

Это полезно для быстрой проверки после подозрительных событий или перед обращением в службу поддержки.

Полное сканирование через PowerShell

Полное сканирование проверяет все файлы и подключённые диски. Оно может занять много времени:

Start-MpScan -ScanType FullScan

Если нужно запустить его в фоне и не блокировать сессию, добавьте флаг -AsJob:

Start-MpScan -ScanType FullScan -AsJob

Оффлайн-сканирование Microsoft Defender

Оффлайн-сканирование помогает удалить стойкие образцы вредоносного ПО, которые невозможно удалить в обычном режиме работы Windows. Сохраните все данные и выполните:

Start-MpWDOScan

После выполнения система перезагрузится в офлайн-режим Defender, выполнит сканирование и выдаст отчёт после загрузки Windows.

Отчёт офлайн-скана доступен в разделе Защита от вирусов и угроз > История защиты (Windows Security > Virus & threat protection > Protection history).

Планирование быстрой проверки через PowerShell

Можно настроить ежедневное расписание для быстрого сканирования:

Set-MpPreference -ScanScheduleQuickScanTime 14:00:00

Замените 14:00:00 на желаемое время в 24-часовом формате. Чтобы сбросить расписание быстрых проверок, выполните ту же команду без параметра времени.

Планирование полного сканирования через PowerShell

Полное сканирование можно настроить пошагово. Пример последовательности:

1. Установите параметры сканирования (значение 2 задаёт полный системный скан):

Set-MpPreference -ScanParameters 2

2. Укажите день для выполнения (Scan_Day — число от 0 до 7, где 0 — ежедневно, 1–7 — дни недели, начиная с воскресенья):

Set-MpPreference -RemediationScheduleDay Scan_Day

3. Укажите время в 24-часовом формате:

Set-MpPreference -RemediationScheduleTime 02:00:00

4. Для возврата к настройкам по умолчанию можно выбрать в Step 1 значение 8.

После настройки Microsoft Defender будет автоматически выполнять полное сканирование в указанное время.

Важно: при назначении массовых запланированных задач в корпорации избегайте одновременного запуска на всех машинах (создаст нагрузку на сеть и сервер обновлений).

Шпаргалка основных команд

# Информация о статусе
Get-MpComputerStatus

# Обновление сигнатур
Update-MpSignature
Update-MpSignature -UpdateSource SourceName

# Быстрое и полное сканирование
Start-MpScan -ScanType QuickScan
Start-MpScan -ScanType FullScan
Start-MpScan -ScanType FullScan -AsJob

# Оффлайн-сканирование
Start-MpWDOScan

# Настройки расписания
Set-MpPreference -ScanScheduleQuickScanTime 14:00:00
Set-MpPreference -SignatureScheduleDay Everyday
Set-MpPreference -ScanParameters 2
Set-MpPreference -RemediationScheduleDay 0
Set-MpPreference -RemediationScheduleTime 02:00:00

# Включение защиты
Set-MpPreference -DisableRealtimeMonitoring $false

# Служба Defender
Get-Service -Name WinDefend
Start-Service -Name WinDefend

Роли и чек-листы

Роль: Системный администратор

• Проверить статус Get-MpComputerStatus.
• Обновить сигнатуры Update-MpSignature.
• Настроить корпоративное расписание проверок.
• Проверить совместимость со сторонним ПО.

Роль: Инженер поддержки

• Запустить QuickScan при жалобах пользователя.
• При подозрении на сложный кейс — инициировать оффлайн-сканирование.
• Собирать логи и отчёты для анализа.

Роль: Менеджер безопасности

• Утвердить политику расписаний с учётом нагрузки сети.
• Контролировать метрики успешности обновлений и инцидентов.

Методология внедрения изменений (мини-процесс)

1. Тестируйте команды на контрольной группе пользователей.
2. Отслеживайте влияние на производительность и сеть в течение 7 дней.
3. Автоматизируйте через скрипты PowerShell или инструменты управления конфигурацией (SCCM, Intune).
4. Документируйте политики и оповестите конечных пользователей.

Критерии приёмки

• AntivirusEnabled = True на 95% устройствах в выборке.
• Последнее обновление сигнатур не старше 24 часов.
• Запланированное сканирование выполняется вовремя и не вызывает массовых отказов.
• Пользователи информированы о возможных перезагрузках при оффлайн-сканировании.

Устранение неполадок и типичные сценарии

Проблема: обновления не скачиваются

• Проверьте подключение к интернету и доступ к Windows Update.
• Выполните Update-MpSignature и посмотрите сообщения об ошибках.
• Проверьте пространство на системном диске.

Проблема: служба Defender остановлена

Get-Service -Name WinDefend
Start-Service -Name WinDefend

Если служба не запускается, проверьте системный журнал и конфликтующее ПО (другой антивирус).

Проблема: подозрительная находка, не удаётся удалить

• Выполните Start-MpWDOScan для оффлайн-лечения.
• Если проблема остаётся, соберите файлы и отправьте на анализ в специализированную службу.

Когда PowerShell управление не подходит

• На машинах с установленным сторонним корпоративным антивирусом Defender может быть отключён через GPO.
• На устройствах без прав администратора команды не выполнятся.
• Если требуется графическое подтверждение для финальных действий — используйте GUI Windows Security.

Альтернативные подходы

• Microsoft Endpoint Manager (Intune) для централизованного управления и развертывания политик.
• System Center Configuration Manager (SCCM) для крупных он-прем сред.
• PowerShell-скрипты в составе CI/CD для автоматизации развертывания политик.

Безопасность и конфиденциальность

• Оффлайн-сканирование и обновления выполняются локально; данные, обнаруженные в процессе сканирования, могут быть переданы в Microsoft в зависимости от настроек телеметрии. Проверьте политику конфиденциальности и настройки отправки диагностики в вашей организации.

Краткий глоссарий

• PowerShell — оболочка и язык сценариев для автоматизации.
• cmdlet — команда PowerShell.
• Сигнатуры — базы определений вредоносного ПО.
• Оффлайн-сканирование — сканирование до загрузки основной ОС.

FAQ

Как часто нужно обновлять сигнатуры?

Рекомендуется обновлять сигнатуры ежедневно; в большинстве организаций — автоматически каждое утро.

Можно ли запускать оффлайн-сканирование удалённо?

Команда Start-MpWDOScan инициирует локальную перезагрузку в офлайн-режим. Удалённая инициация возможна через удалённое управление, но требуйте согласия пользователя.

Что делать, если другой антивирус отключил Defender?

Проверьте политику безопасности и список установленных приложений. В корпоративной среде согласуйте действия с командой безопасности.

Диаграмма принятия решения

flowchart TD
  A[Есть подозрение на сложное ПО?] -->|Нет| B[Быстрое сканирование]
  A -->|Да| C[Оффлайн-сканирование]
  B --> D{Проблема обнаружена?}
  D -->|Да| E[Удаление/уведомление]
  D -->|Нет| F[Мониторинг]
  C --> G[Сохранить файлы и запустить Start-MpWDOScan]
  G --> H[Проверить отчёт защиты]

Итог

Microsoft Defender можно эффективно управлять через PowerShell: проверять состояние, обновлять сигнатуры, запускать быстрые, полные и оффлайн-сканирования, а также настраивать расписания. Команды PowerShell упрощают массовое администрирование и дают дополнительные опции, недоступные в графическом интерфейсе.

Краткие рекомендации:

• Всегда запускайте Update-MpSignature перед глубинными проверками.
• Для устойчивых угроз используйте Start-MpWDOScan.
• Документируйте и тестируйте изменения на контрольной группе перед массовым внедрением.