Тонка настройка захисника Windows за допомогою PowerShell

Поради та підказки щодо софту, роботи в операційних системах, комплектуючих та зборок комп'ютерів.
Відповісти
Аватар користувача
toxi
Администратор
Администратор
Статті: 0
Повідомлень: 543
З нами з: 12-04-2008 07:58:25
Ваша стать: Чоловічий
І'мя: Roman
Контактна інформація:
Контактна інформація користувача toxi

Тонка настройка захисника Windows за допомогою PowerShell

Повідомлення toxi »

Користувач запитав, чому захисник Windows видаляє файли з папки, доданої у винятки.

Код: Виділити все

Get-MpThreat
Get-MpPreference | ft ExclusionPath
Перша команда показує виявлені погрози, а друга – виключені з моніторингу шляхи. З'ясувалося, що виключено папку E:\Games, але видалений файл лежав в одній з її підпапок. Захисник визначив його як HackTool: Win32/Crack.

Взагалі, потрібно додавати у виключення конкретну папку. І захиснику треба вказувати на неї явно, ніж на батьківську папку. У графічному інтерфейсі інакше й не вийде – що вибрали, те й виключили.

В PowerShell ви можете отримати відомості про параметри захисника командлетом Get-MpPreference. І є ще два для встановлення параметрів:

Add-MpPreference додає значення до наявного набору налаштувань.
Set-MpPreference задає свій набір, перезаписуючи поточний.

Обидва підтримують символи підстановки * і ?. Але є нюанс © У вас не вдасться додати у виключення всі дочірні папки рекурсивно так:

Код: Виділити все

Add-MpPreference -ExclusionPath E:\Games\*
Це виключає лише папки одного рівня вкладеності. Два рівні - E:\Games\*\* і т.д. Підтримується максимум 6 символів підстановки. Докладніше див. у документації з прикладами.

/////

У рамках того ж обговорення виявилось, що захисник непослідовно реагує на різні загрози. Одні відправляє до карантину, інші видаляє.
Мені здається, що раніше в графічному інтерфейсі були базові налаштування для дій, залежно від серйозності загрози. Можливо, їх випиляли. Але це не має значення, адже є PowerShell.

Поточні налаштування можна переглянути так:

Код: Виділити все

Get-MpPreference | Select-Object *action

HighThreatDefaultAction     : 0
LowThreatDefaultAction      : 0
ModerateThreatDefaultAction : 0
SevereThreatDefaultAction   : 0
UnknownThreatDefaultAction  : 0
Нуль - означає стандартну дію, залежно від уподобань Microsoft, заданих сигнатурами. Це написано в довідці Set-MpPreference.

Там же перераховані числові значення для семи різних дій захисника.
Наприклад, 2 – карантин, 3 – видалення, 9 – ігнорування.
Це допомагає зрозуміти поточний рівень налаштувань.

Для кожного рівня серйозності загроз ви можете задати тільки ці три дії (решта застосовуються до конкретних екземплярів за їх ID). Наприклад, ви хочете відправляти найсерйозніші загрози в карантин замість видалення:

Код: Виділити все

Set-MpPreference -SevereThreatDefaultAction Quarantine
/////

Не варто простягати руки до неба, що кінцевим користувачам не дали тонко налаштувати компонент у графічному інтерфейсі. Коли стосується безпеки, я лише за! Тому що для недосвідчених людей це закінчується стріляниною в ногу, а то й у голову.

Консольні засоби ставлять бодай якийсь бар'єр від самопострілу. Зауважте, що тут перша людина дозволяла якийсь патч чи кряк. А вони традиційно є найпоширенішим середовищем для малварі. Другий, скоріше цікавився з метою послабити дефолтні налаштування, ніж закрутити гайки ;)
photo_2025-05-08_20-03-55.jpg
Правила форуму :: Виконую послуги IT-адміністратора (види послуг).
Догори
Відповісти

Повернутись до “F1: Поради та підказки”