【玩转腾讯云】defender添加排除项(命令行和图形界面,5种方式)

2023-11-03 21:14:56 浏览数 (1)

win10或win11内核的机器,默认带defender,挺敏感的,可能存在一定的误报,如果你觉得是误报,需要添加信任的话,有5种办法

defender从NT10开始,NT10包括2016/2019/2022/win10/win11/未来发布的windows系统,不包括≤2012R2的系统

我先详述如下,最后再录个视频(录屏在结尾)

一、组策略排除

二、powershell命令排除

排除示例: powershell.exe -Command 'Set-MpPreference -ExclusionPath "C:xxx", "D:yyy"' Add-MpPreference -ExclusionPath "C:Program Files (x86)WinAgent*" 查看排除列表: $WDAVprefs = Get-MpPreference $WDAVprefs.ExclusionPath

add增加排除项

代码语言:javascript复制
Add-MpPreference -ExclusionPath "C:Program Files (x86)WinAgent*"
Add-MpPreference -ExclusionPath "E:*"
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionPath

remove删除排除项

代码语言:javascript复制
Remove-MpPreference -ExclusionPath "E:*"
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionPath
代码语言:javascript复制
Remove-MpPreference -ExclusionPath "C:Program Files (x86)WinAgent*"
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionPath

三、settings图形界面排除

代码语言:javascript复制
server2016

代码语言:javascript复制
server2019

代码语言:javascript复制
server2022

四、新购机器时用自定义数据(UserData)排除

参考微软文档:https://learn.microsoft.com/zh-cn/microsoft-365/security/defender-endpoint/configure-extension-file-exclusions-microsoft-defender-antivirus?view=o365-worldwide

五、存量机器用TAT下发powershell指令排除

自动化助手TAT很方便,参考https://cloud.tencent.com/developer/article/2145058

Add-MpPreference -ExclusionPath "C:Program Files (x86)WinAgent*"

六、禁用defender自动更新

https://learn.microsoft.com/zh-cn/microsoft-365/security/defender-endpoint/manage-protection-updates-microsoft-defender-antivirus?view=o365-worldwide

Defender的更新不受制于操作系统的Windows Update机制,是套独立机制

#设置defender从不更新(不一定生效,因为defender的机制太复杂了)

代码语言:javascript复制
这个设置可能并不能完全控制defender自动更新
defender本身由好几部分组成的,  包括客户端、病毒库、扫描引擎等,
更新通道也是多种机制(defender自身检查、windows update等),
下面的命令控制的是其中一种definition update(病毒特征库)
其他的可能该更新还是会更新, 并且其他更新安装的时候也会自动同步新的definition update
建议实际验证一下, 比如创建一台没网络的新机器( 防止创建机器后马上就更新),  加上这个注册表设置, 
重启再放通网络, 然后等待几天或者多重启几次, 以及触发一下windows update更新,看看defender还会不会更新

Set-ItemProperty 'HKLM:SOFTWAREMicrosoftWindows DefenderMiscellaneous Configuration' -Name PreventPlatformUpdate -Value 1 -Force

New-Item 'HKLM:SOFTWAREPoliciesMicrosoftWindows DefenderSignature Updates' -Force
Set-ItemProperty 'HKLM:SOFTWAREPoliciesMicrosoftWindows DefenderSignature Updates' -Name ScheduleDay -Value 8 -Force
Set-ItemProperty 'HKLM:SOFTWAREPoliciesMicrosoftWindows DefenderSignature Updates' -Name FallbackOrder -Value 'FileShares' –Type 'String' -Force

或者
powershell.exe -Command "Set-ItemProperty 'HKLM:SOFTWAREMicrosoftWindows DefenderMiscellaneous Configuration' -Name PreventPlatformUpdate -Value 1 -Force"

powershell.exe -Command "New-Item 'HKLM:SOFTWAREPoliciesMicrosoftWindows DefenderSignature Updates' -Force"
powershell.exe -Command "Set-ItemProperty 'HKLM:SOFTWAREPoliciesMicrosoftWindows DefenderSignature Updates' -Name ScheduleDay -Value 8 -Force"
powershell.exe -Command "Set-ItemProperty 'HKLM:SOFTWAREPoliciesMicrosoftWindows DefenderSignature Updates' -Name FallbackOrder -Value 'FileShares' –Type 'String' -Force"

微软的方案翻译过来就是这3句命令:

代码语言:javascript复制
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderMiscellaneous Configuration" /v "PreventPlatformUpdate" /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderSignature Updates" /v "ScheduleDay" /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderSignature Updates" /v "FallbackOrder" /d "FileShares" /t REG_SZ /f

#查看defender更新设置的结果

代码语言:javascript复制
Get-ItemProperty 'HKLM:SOFTWAREPoliciesMicrosoftWindows DefenderSignature Updates'
Get-ItemProperty 'HKLM:SOFTWAREMicrosoftWindows DefenderMiscellaneous Configuration'

或者
powershell.exe -Command "Get-ItemProperty 'HKLM:SOFTWAREPoliciesMicrosoftWindows DefenderSignature Updates'"
powershell.exe -Command "Get-ItemProperty 'HKLM:SOFTWAREMicrosoftWindows DefenderMiscellaneous Configuration'"

录屏

https://cloud.tencent.com/developer/video/34345

云服务器 windowsserver windows

0 人点赞