Користувач запитав, чому захисник Windows видаляє файли з папки, доданої у винятки.
Код: Виділити все
Get-MpThreat
Get-MpPreference | ft ExclusionPath
Перша команда показує виявлені погрози, а друга – виключені з моніторингу шляхи. З'ясувалося, що виключено папку E:\Games, але видалений файл лежав в одній з її підпапок. Захисник визначив його як
HackTool: Win32/Crack.
Взагалі, потрібно додавати у виключення конкретну папку. І захиснику треба вказувати на неї явно, ніж на батьківську папку. У графічному інтерфейсі інакше й не вийде – що вибрали, те й виключили.
В PowerShell ви можете отримати відомості про параметри захисника командлетом
Get-MpPreference. І є ще два для встановлення параметрів:
•
Add-MpPreference додає значення до наявного набору налаштувань.
•
Set-MpPreference задає свій набір, перезаписуючи поточний.
Обидва підтримують символи підстановки * і ?. Але є нюанс © У вас не вдасться додати у виключення всі дочірні папки рекурсивно так:
Це виключає лише папки одного рівня вкладеності. Два рівні - E:\Games\*\* і т.д. Підтримується максимум 6 символів підстановки. Докладніше див. у
документації з прикладами.
/////
У рамках того ж обговорення виявилось, що захисник непослідовно реагує на різні загрози. Одні відправляє до карантину, інші видаляє.
Мені здається, що раніше в графічному інтерфейсі були базові налаштування для дій, залежно від серйозності загрози. Можливо, їх випиляли. Але це не має значення, адже є PowerShell.
Поточні налаштування можна переглянути так:
Код: Виділити все
Get-MpPreference | Select-Object *action
HighThreatDefaultAction : 0
LowThreatDefaultAction : 0
ModerateThreatDefaultAction : 0
SevereThreatDefaultAction : 0
UnknownThreatDefaultAction : 0
Нуль - означає стандартну дію, залежно від уподобань Microsoft, заданих сигнатурами. Це написано в
довідці Set-MpPreference.
Там же перераховані числові значення для семи різних дій захисника.
Наприклад, 2 – карантин, 3 – видалення, 9 – ігнорування.
Це допомагає зрозуміти поточний рівень налаштувань.
Для кожного рівня серйозності загроз ви можете задати тільки ці три дії (решта застосовуються до конкретних екземплярів за їх ID). Наприклад, ви хочете відправляти найсерйозніші загрози в карантин замість видалення:
Код: Виділити все
Set-MpPreference -SevereThreatDefaultAction Quarantine
/////
Не варто простягати руки до неба, що кінцевим користувачам не дали тонко налаштувати компонент у графічному інтерфейсі. Коли стосується безпеки, я лише за! Тому що для недосвідчених людей це закінчується стріляниною в ногу, а то й у голову.
Консольні засоби ставлять бодай якийсь бар'єр від самопострілу. Зауважте, що тут перша людина дозволяла якийсь патч чи кряк. А вони традиційно є найпоширенішим середовищем для малварі. Другий, скоріше цікавився з метою послабити дефолтні налаштування, ніж закрутити гайки
Користувач запитав, чому захисник Windows видаляє файли з папки, доданої у винятки.
[code]Get-MpThreat
Get-MpPreference | ft ExclusionPath[/code]
Перша команда показує виявлені погрози, а друга – виключені з моніторингу шляхи. З'ясувалося, що виключено папку E:\Games, але видалений файл лежав в одній з її підпапок. Захисник визначив його як [b]HackTool: Win32/Crack[/b].
Взагалі, потрібно додавати у виключення конкретну папку. І захиснику треба вказувати на неї явно, ніж на батьківську папку. У графічному інтерфейсі інакше й не вийде – що вибрали, те й виключили.
В PowerShell ви можете отримати відомості про параметри захисника командлетом [url=https://learn.microsoft.com/en-us/powershell/module/defender/get-mppreference]Get-MpPreference[/url]. І є ще два для встановлення параметрів:
• [url=https://learn.microsoft.com/en-us/powershell/module/defender/add-mppreference]Add-MpPreference[/url] додає значення до наявного набору налаштувань.
• [url=https://learn.microsoft.com/en-us/powershell/module/defender/set-mppreference]Set-MpPreference[/url] задає свій набір, перезаписуючи поточний.
Обидва підтримують символи підстановки * і ?. Але є нюанс © У вас не вдасться додати у виключення всі дочірні папки рекурсивно так:
[code]Add-MpPreference -ExclusionPath E:\Games\*[/code]
Це виключає лише папки одного рівня вкладеності. Два рівні - E:\Games\*\* і т.д. Підтримується максимум 6 символів підстановки. Докладніше див. у [url=https://learn.microsoft.com/en-us/defender-endpoint/configure-extension-file-exclusions-microsoft-defender-antivirus#use-wildcards-in-the-file-name-and-folder-path-or-extension-exclusion-lists]документації з прикладами[/url].
/////
У рамках того ж обговорення виявилось, що захисник непослідовно реагує на різні загрози. Одні відправляє до карантину, інші видаляє.
Мені здається, що раніше в графічному інтерфейсі були базові налаштування для дій, залежно від серйозності загрози. Можливо, їх випиляли. Але це не має значення, адже є PowerShell.
Поточні налаштування можна переглянути так:
[code]Get-MpPreference | Select-Object *action
HighThreatDefaultAction : 0
LowThreatDefaultAction : 0
ModerateThreatDefaultAction : 0
SevereThreatDefaultAction : 0
UnknownThreatDefaultAction : 0
[/code]
Нуль - означає стандартну дію, залежно від уподобань Microsoft, заданих сигнатурами. Це написано в [url=https://learn.microsoft.com/en-us/powershell/module/defender/set-mppreference]довідці Set-MpPreference[/url].
Там же перераховані числові значення для семи різних дій захисника.
Наприклад, 2 – карантин, 3 – видалення, 9 – ігнорування.
Це допомагає зрозуміти поточний рівень налаштувань.
Для кожного рівня серйозності загроз ви можете задати тільки ці три дії (решта застосовуються до конкретних екземплярів за їх ID). Наприклад, ви хочете відправляти найсерйозніші загрози в карантин замість видалення:
[code]Set-MpPreference -SevereThreatDefaultAction Quarantine[/code]
/////
Не варто простягати руки до неба, що кінцевим користувачам не дали тонко налаштувати компонент у графічному інтерфейсі. Коли стосується безпеки, я лише за! Тому що для недосвідчених людей це закінчується стріляниною в ногу, а то й у голову.
Консольні засоби ставлять бодай якийсь бар'єр від самопострілу. Зауважте, що тут перша людина дозволяла якийсь патч чи кряк. А вони традиційно є найпоширенішим середовищем для малварі. Другий, скоріше цікавився з метою послабити дефолтні налаштування, ніж закрутити гайки ;)
[attachment=0]photo_2025-05-08_20-03-55.jpg[/attachment]