【玩转腾讯云】defender添加排除项(命令行和图形界面,5种方式)
原创【玩转腾讯云】defender添加排除项(命令行和图形界面,5种方式)
原创
Windows技术交流
修改于 2023-11-03 21:14:56
修改于 2023-11-03 21:14:56
文章被收录于专栏:Windows技术交流
win10或win11内核的机器,默认带defender,挺敏感的,可能存在一定的误报,如果你觉得是误报,需要添加信任的话,有5种办法
defender从NT10开始,NT10包括2016/2019/2022/win10/win11/未来发布的windows系统,不包括≤2012R2的系统
我先详述如下,最后再录个视频(录屏在结尾)
一、组策略排除
二、powershell命令排除
排除示例: powershell.exe -Command 'Set-MpPreference -ExclusionPath "C:\xxx", "D:\yyy"' Add-MpPreference -ExclusionPath "C:\Program Files (x86)\WinAgent\*" 查看排除列表: $WDAVprefs = Get-MpPreference $WDAVprefs.ExclusionPath
add增加排除项
Add-MpPreference -ExclusionPath "C:\Program Files (x86)\WinAgent\*"
Add-MpPreference -ExclusionPath "E:\*"
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionPathremove删除排除项
Remove-MpPreference -ExclusionPath "E:\*"
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionPathRemove-MpPreference -ExclusionPath "C:\Program Files (x86)\WinAgent\*"
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionPath三、settings图形界面排除
server2016
server2019
server2022
四、新购机器时用自定义数据(UserData)排除
五、存量机器用TAT下发powershell指令排除
自动化助手TAT很方便,参考https://cloud.tencent.com/developer/article/2145058
Add-MpPreference -ExclusionPath "C:\Program Files (x86)\WinAgent\*"
六、禁用defender自动更新
Defender的更新不受制于操作系统的Windows Update机制,是套独立机制
#设置defender从不更新(不一定生效,因为defender的机制太复杂了)
这个设置可能并不能完全控制defender自动更新
defender本身由好几部分组成的, 包括客户端、病毒库、扫描引擎等,
更新通道也是多种机制(defender自身检查、windows update等),
下面的命令控制的是其中一种definition update(病毒特征库)
其他的可能该更新还是会更新, 并且其他更新安装的时候也会自动同步新的definition update
建议实际验证一下, 比如创建一台没网络的新机器( 防止创建机器后马上就更新), 加上这个注册表设置,
重启再放通网络, 然后等待几天或者多重启几次, 以及触发一下windows update更新,看看defender还会不会更新
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration\' -Name PreventPlatformUpdate -Value 1 -Force
New-Item 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates' -Force
Set-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates\' -Name ScheduleDay -Value 8 -Force
Set-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates\' -Name FallbackOrder -Value 'FileShares' –Type 'String' -Force
或者
powershell.exe -Command "Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration\' -Name PreventPlatformUpdate -Value 1 -Force"
powershell.exe -Command "New-Item 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates' -Force"
powershell.exe -Command "Set-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates\' -Name ScheduleDay -Value 8 -Force"
powershell.exe -Command "Set-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates\' -Name FallbackOrder -Value 'FileShares' –Type 'String' -Force"
微软的方案翻译过来就是这3句命令:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration" /v "PreventPlatformUpdate" /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates" /v "ScheduleDay" /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates" /v "FallbackOrder" /d "FileShares" /t REG_SZ /f#查看defender更新设置的结果
Get-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates\'
Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration\'
或者
powershell.exe -Command "Get-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates\'"
powershell.exe -Command "Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration\'"
录屏
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
腾讯云开发者
