0x00 Windows Defender真烦

最近装了不少虚拟机，发现目前较新版本的windows Defender是真的烦，关了一段时间后，自己又打开。特别是装了域控后的winserver 2016，半都关不掉，做个实验是真烦。

顺手去查了下如何使用powershell搞定Windows Defneder，记录一下，以备查用。

---

0x01 powershell好使

powershell.exe Get-MpPreference  //查看Defender配置

把重要的几个选项作了注释。

C:\Windows\system32>powershell.exe Get-MpPreference


CheckForSignaturesBeforeRunningScan           : False
ComputerID                                    : 4AD8F002-2FA4-48CA-BA56-528BCAF23B16
DisableArchiveScanning                        : False
DisableAutoExclusions                         : False  
DisableBehaviorMonitoring                     : False  //行为监视
DisableBlockAtFirstSeen                       : False  
DisableCatchupFullScan                        : True
DisableCatchupQuickScan                       : True
DisableEmailScanning                          : True
DisableIntrusionPreventionSystem              :			//是否启用入侵防范系统 (IPS)
DisableIOAVProtection                         : False  //读取/写入操作期间对I/O访问进行检查和拦截
DisablePrivacyMode                            : False
DisableRealtimeMonitoring                     : True  //实时保护
DisableRemovableDriveScanning                 : True
DisableRestorePoint                           : True
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False  //扫描网络文件
DisableScriptScanning                         : False
ExclusionExtension                            :
ExclusionPath                                 :
ExclusionProcess                              :
HighThreatDefaultAction                       : 0
LowThreatDefaultAction                        : 0
MAPSReporting                                 : 2
ModerateThreatDefaultAction                   : 0
PUAProtection                                 : 0
QuarantinePurgeItemsAfterDelay                : 90
RandomizeScheduleTaskTimes                    : True
RealTimeScanDirection                         : 0
RemediationScheduleDay                        : 0
RemediationScheduleTime                       : 02:00:00
ReportingAdditionalActionTimeOut              : 10080
ReportingCriticalFailureTimeOut               : 10080
ReportingNonCriticalTimeOut                   : 1440
ScanAvgCPULoadFactor                          : 50
ScanOnlyIfIdleEnabled                         : True
ScanParameters                                : 1
ScanPurgeItemsAfterDelay                      : 15
ScanScheduleDay                               : 0
ScanScheduleQuickScanTime                     : 00:00:00
ScanScheduleTime                              : 02:00:00
SevereThreatDefaultAction                     : 0
SignatureAuGracePeriod                        : 1440
SignatureDefinitionUpdateFileSharesSources    :
SignatureDisableUpdateOnStartupWithoutEngine  : False
SignatureFallbackOrder                        : MicrosoftUpdateServer|MMPC
SignatureFirstAuGracePeriod                   : 120
SignatureScheduleDay                          : 8
SignatureScheduleTime                         : 01:45:00
SignatureUpdateCatchupInterval                : 1
SignatureUpdateInterval                       : 0
SubmitSamplesConsent                          : 1  //自动提交未知文件以进行分析
ThreatIDDefaultAction_Actions                 :
ThreatIDDefaultAction_Ids                     :
UILockdown                                    : False
UnknownThreatDefaultAction                    : 0
PSComputerName                                :

可以使用powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true命令来进行关闭实时保护功能，这里本来就已经关闭了，演示关闭自动提交未知样本功能。

powershell.exe Set-MpPreference -SubmitSamplesConsent 0   //这里用0和2好像都行，组管理策略里面有答案

可以看到已经成功关闭，如果上述命令无法生效时，需要先关闭篡改防护。

也可以尝试使用注册表命令reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f来进行关闭

世界清静了，真好。