使用 PowerShell 管理 Microsoft Defender 防病毒
前言
使用 Windows Server Core 时虽然没有预装 Windows 安全中心,但 Microsoft Defender 防病毒程序依旧会正常运行,使用 PowerShell 管理 Microsoft Defender 防病毒可以代替 Windows 安全中心在 Windows Server Core 的作用
但是能力有限,仅能介绍几个参数的作用
此文编写时按 Windows Server 2025 及 Windows 11 版本编写,更新或更旧的版本可能会有些许出入
Add-MpPreference
此条目为 添加排除项目
添加文件夹到排除列表
将 <path\to\folder> 修改为文件夹路径,如 C:\Temp
使用 , 隔开多个路径,如 "<path\to\folder1>", "<path\to\folder2>"
1 | Add-MpPreference -ExclusionPath "<path\to\folder>" |
添加特定文件扩展名称到排除列表
将 <Filename Extension> 修改为扩展名称,如 .exe
使用 , 隔开多个扩展名称,如 ".<Filename Extension1>", ".<Filename Extension2>"
1 | Add-MpPreference -ExclusionExtension ".<Filename Extension>" |
添加特定进程名称到排除列表
将 <Process Name> 修改为进程名称,如 cmd.exe
使用 , 隔开多个进程名称,如 ".<Process Name.Filename Extension1>", ".<Process Name.Filename Extension2>"
1 | Add-MpPreference -ExclusionProcess "<Process Name>" |
Get-MpComputerStatus
此条目为 获取防病毒状态
获取防病毒状态
1 | Get-MpComputerStatus |
Get-MpPreference
此条目为 获取防病毒首选项
获取防病毒首选项
1 | Get-MpPreference |
Get-MpThreat
此条目为 获取威胁历史记录
获取威胁历史记录
1 | Get-MpThreat |
Get-MpThreatCatalog
此条目为 获取威胁类型目录
获取威胁类型目录
1 | Get-MpThreatCatalog |
Remove-MpPreference
此条目为 移除排除项目
移除文件夹的排除列表
将 <path\to\folder> 修改为文件夹路径,如 C:\Temp
使用 , 隔开多个路径,如 "<path\to\folder1>", "<path\to\folder2>"
1 | Remove-MpPreference -ExclusionPath "<path\to\folder>" |
移除特定文件扩展名称的排除列表
将 <Filename Extension> 修改为扩展名称,如 .exe
使用 , 隔开多个扩展名称,如 ".<Filename Extension1>", ".<Filename Extension2>"
1 | Remove-MpPreference -ExclusionExtension ".<Filename Extension>" |
移除特定进程名称的排除列表
将 <Process Name> 修改为进程名称,如 cmd.exe
使用 , 隔开多个进程名称,如 ".<Process Name.Filename Extension1>", ".<Process Name.Filename Extension2>"
1 | Remove-MpPreference -ExclusionProcess "<Process Name>" |
Remove-MpThreat
此条目为 移除计算机中的活动威胁
移除计算机中的活动威胁
1 | Remove-MpThreat |
Set-MpPreference
此条目为 设定防病毒偏好设置
基本防护控制参数
启用/禁用实时防护
将 <Boolean> 修改为具体的布尔值,$true 为禁用,$false 为启用
1 | Set-MpPreference -DisableRealtimeMonitoring <Boolean> |
禁用行为监控
1 | Set-MpPreference -DisableBehaviorMonitoring |
禁用脚本扫描
1 | Set-MpPreference -DisableScriptScanning |
禁用压缩文件扫描
1 | Set-MpPreference -DisableArchiveScanning |
禁用电子邮件扫描
1 | Set-MpPreference -DisableEmailScanning |
禁用可移动驱动器扫描
1 | Set-MpPreference -DisableRemovableDriveScanning |
禁用网络文件扫描
1 | Set-MpPreference -DisableScanningNetworkFiles |
扫描配置参数
计划扫描日期
<Day> 可配置的数值如下
0: 每天
1: 周日
2: 周一
3: 周二
4: 周三
5: 周四
6: 周五
7: 周六
8: 从不
1 | Set-MpPreference -ScanScheduleDay <Day> |
计划扫描时间
将 <TimeSpan> 修改为当前计算机的具体的时间,格式为 HH:MM:SS(时:分:秒),默认为凌晨两点。如 01:23:45
1 | Set-MpPreference -ScanScheduleTime <TimeSpan> |
Start-MpScan
此条目为 启动防病毒扫描
启动防病毒扫描
1 | Start-MpScan |
指定扫描路径
将 <String> 修改为扫描路径,如 C:\Temp
1 | Start-MpScan -ScanPath "<String>" |
指定扫描等级
将 <ScanType> 修改为扫描等级。FullScan 为全盘扫描;QuickScan 为快速扫描;CustomScan 为自定义扫描,需要搭配 -ScanPath 使用
1 | Start-MpScan -ScanType <ScanType> |
Start-MpWDOScan
此条目为 启动 Microsoft Defender 防病毒脱机扫描
启动 Microsoft Defender 防病毒脱机扫描
1 | Start-MpWDOScan |
Update-MpSignature
此条目为 更新防病毒软件定义
更新防病毒软件定义
从默认源更新
1 | Update-MpSignature |
从指定源更新
1 | Update-MpSignature -UpdateSource <Source Name> |
从 Microsoft 更新服务器获取签名
Update-MpSignature -UpdateSource MicrosoftUpdateServer
从 MMPC 获取签名
Update-MpSignature -UpdateSource MMPC
从内部服务器获取签名(企业环境)
Update-MpSignature -UpdateSource InternalDefinitionUpdateServer
通用参数
-AsJob
-AsJob 将在后台完成操作,不阻塞当前窗口进程。此操作将耗费一定的时间完成
-Force
-Force 将强制执行命令。此参数在部分命令中不可用
-CimSession
-CimSession 会对远程计算机进行操作