Windows Defender 바이러스 백신 Windows Server 2016 및 2019에 기본적으로 설치되는 Microsoft의 무료 내장 바이러스 백신입니다(Windows 10 2004 이후 이름은 Microsoft Defender). 사용). 이 기사에서는 Windows Server 2019/2016에서 Windows Defender의 기능을 살펴보겠습니다.
내용:
- Windows 서버에서 Windows Defender GUI 사용
- Windows Server 2019 및 2016에서 Windows Defender 바이러스 백신을 제거하는 방법
- PowerShell로 Windows Defender 바이러스 백신 관리
- Windows Defender 바이러스 백신 검사에서 파일 및 폴더를 제외하는 방법
- PowerShell을 통해 원격 컴퓨터에서 Windows Defender 상태 보고서 가져오기
- Windows Defender 바이러스 백신 정의 업데이트
- 그룹 정책을 사용하여 Windows Defender 구성
Windows Server에서 Windows Defender GUI 사용
Windows Server 2016 및 2019(Core 에디션 포함)에는 Windows Defender 바이러스 백신 엔진이 내장되어 있습니다. PowerShell을 사용하여 Windows Defender 바이러스 백신이 설치되어 있는지 확인할 수 있습니다.
Get-WindowsFeature | Where-Object {$_. name -like "*defender*"} | ft Name,DisplayName,Installstate
그러나 Windows Server 2016에는 기본적으로 Windows Defender 바이러스 백신 GUI가 없습니다. 서버 관리자 콘솔(역할 및 기능 추가 -> 기능 -> Windows Defender 기능 -> Windows Defender용 GUI)을 통해 Windows Server 2016에 Windows Defender 그래픽 인터페이스를 설치할 수 있습니다. 특징).
또는 PowerShell을 사용하여 Windows Defender 바이러스 백신 GUI를 활성화할 수 있습니다.
Install-WindowsFeature -Name Windows-Defender-GUI
Defender GUI를 제거하려면 다음 PowerShell 명령이 사용됩니다.
Uninstall-WindowsFeature -Name Windows-Defender-GUI
Windows Server 2019에서 Defender GUI는 APPX 애플리케이션을 기반으로 하며 Windows 보안을 통해 액세스할 수 있습니다. 앱(설정 -> 업데이트 및 보안).
Windows Defender는 "바이러스 및 위협 보호를 통해 구성됩니다. " 메뉴.
You’ll need a new app to open this windowsdefender ", 다음 PowerShell 명령과 함께 매니페스트 파일을 사용하여 APPX 응용 프로그램을 다시 등록해야 합니다.
Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"
UWP(APPX) 앱이 완전히 제거된 경우 Microsoft Store 애플리케이션을 복원하는 것과 유사하게 수동으로 복원할 수 있습니다.
Windows Server 2019 및 2016에서 Windows Defender 바이러스 백신을 제거하는 방법
Windows 10에서 타사 바이러스 백신(McAfee, Norton, Avast, Kaspersky, Symantec 등)을 설치하면 기본 제공 Windows Defender 바이러스 백신이 비활성화됩니다. 그러나 Windows Server에서는 발생하지 않습니다. 내장된 바이러스 백신 엔진을 수동으로 비활성화해야 합니다(대부분의 경우 한 컴퓨터 또는 서버에서 한 번에 여러 바이러스 백신 프로그램을 사용하지 않는 것이 좋습니다).
서버 관리자를 사용하거나 다음 PowerShell 명령을 사용하여 Windows Server 2019/2016에서 Windows Defender를 제거할 수 있습니다.
Uninstall-WindowsFeature -Name Windows-Defender
서버에 다른 바이러스 백신이 없는 경우 Windows Defender를 제거하지 마십시오.
다음 명령을 사용하여 Windows Defender 서비스를 설치할 수 있습니다.
Add-WindowsFeature Windows-Defender-Features,Windows-Defender-GUI
PowerShell로 Windows Defender 바이러스 백신 관리
Windows Defender 바이러스 백신을 관리하는 데 사용할 수 있는 일반적인 PowerShell 명령을 살펴보겠습니다.
다음 PowerShell 명령을 사용하여 Windows Defender 바이러스 백신 서비스가 실행 중인지 확인할 수 있습니다.
Get-Service WinDefend
보시다시피 서비스가 시작되었습니다(Status – Running )
다음 cmdlet을 사용하여 Defender의 현재 상태 및 설정을 표시할 수 있습니다.
Get-MpComputerStatus
cmdlet은 최신 바이러스 백신 데이터베이스 업데이트(AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), 활성화된 바이러스 백신 구성 요소, 마지막 검사 시간(QuickScanStartTime) 등의 버전과 날짜를 표시합니다.
다음과 같이 Windows Defender 실시간 보호를 비활성화할 수 있습니다.
Set-MpPreference -DisableRealtimeMonitoring $true
이 명령을 실행한 후 바이러스 백신은 운영 체제나 사용자가 여는 모든 파일을 실시간으로 검사하지 않습니다.
실시간 안티바이러스 보호를 활성화하는 방법은 다음과 같습니다.
Set-MpPreference -DisableRealtimeMonitoring $false
예를 들어 외부 USB 저장 장치에 대한 검색을 활성화해야 합니다. 다음 명령을 사용하여 현재 설정 가져오기:
Get-MpPreference | fl disable*
USB 드라이브 스캔이 비활성화된 경우(DisableRemovableDriveScanning = True ), 다음 명령을 사용하여 스캔을 활성화할 수 있습니다.
Set-MpPreference -DisableRemovableDriveScanning $false
Windows Defender 모듈에 있는 PowerShell cmdlet의 전체 목록은 다음 명령을 사용하여 표시할 수 있습니다.
Get-Command -Module Defender
Windows Defender 바이러스 백신 검사에서 파일 및 폴더를 제외하는 방법
제외 목록을 설정할 수 있습니다. 자동 Windows Defender 바이러스 백신 검사에서 제외할 이름, 파일 확장명, 디렉터리입니다. Windows Server 2019/2016에서 Windows Defender의 특징은 설치된 Windows Server 역할 및 기능에 따라 적용되는 자동 생성 제외 목록입니다.
예를 들어 Hyper-V 역할이 설치된 경우 가상 및 차이점 보관용 디스크, VHDS 디스크(*.vhd, *.vhdx, *.avhd), 스냅샷, Hyper-V 개체가 Defender 제외 목록에 추가됩니다. 폴더 및 프로세스(Vmms.exe, Vmwp.exe).
Windows Server에서 Microsoft Defender 자동 제외를 비활성화하려면 다음 명령을 실행하십시오.
Set-MpPreference -DisableAutoExclusions $true
특정 디렉토리를 바이러스 백신 제외 목록에 수동으로 추가하려면 다음 명령을 실행하십시오.
Set-MpPreference -ExclusionPath "C:\ISO", "C:\VM", "C:\Nano"
특정 프로세스의 바이러스 백신 검사를 제외하려면 다음 명령을 사용하십시오.
Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"
PowerShell을 통해 원격 컴퓨터에서 Windows Defender 상태 보고서 가져오기
PowerShell을 사용하여 원격 컴퓨터에서 Microsoft Defender 바이러스 백신 상태를 가져올 수 있습니다. 다음의 간단한 스크립트는 AD 도메인의 모든 Windows Server 호스트를 찾고 WinRM을 통해 Defender 상태를 가져옵니다(Invoke-Command cmdlet 사용).
$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderinfo= Invoke-Command $server -ScriptBlock {Get-MpComputerStatus | Select-Object -Property Antivirusenabled,RealTimeProtectionEnabled,AntivirusSignatureLastUpdated,QuickScanAge,FullScanAge}
If ($defenderinfo) {
$objReport = [PSCustomObject]@{
User = $defenderinfo.PSComputername
Antivirusenabled = $defenderinfo.Antivirusenabled
RealTimeProtectionEnabled = $defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated = $defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge = $defenderinfo.QuickScanAge
FullScanAge = $defenderinfo.FullScanAge
}
$Report += $objReport
}
}
$Report|ft
바이러스 백신 탐지에 대한 정보를 얻으려면 다음 PowerShell 스크립트를 사용할 수 있습니다.
$Report = @()
$servers = Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) {
$defenderalerts= Invoke-Command $server -ScriptBlock {Get-MpThreatDetection | Select-Object -Property DomainUser,ProcessName,InitialDetectionTime ,CleaningActionID,Resources }
If ($defenderalerts) {
foreach ($defenderalert in $defenderalerts) {
$objReport = [PSCustomObject]@{
Computer = $defenderalert.PSComputername
DomainUser = $defenderalert.DomainUser
ProcessName = $defenderalert.ProcessName
InitialDetectionTime = $defenderalert.InitialDetectionTime
CleaningActionID = $defenderalert.CleaningActionID
Resources = $defenderalert.Resources
}
$Report += $objReport
}
}
}
$Report|ft
보고서는 감염된 파일의 이름, 수행한 작업, 사용자 및 소유자 프로세스를 보여줍니다.
Windows Defender 바이러스 백신 정의 업데이트
Windows Defender 바이러스 백신은 Windows 업데이트 서버에서 온라인으로 자동 업데이트할 수 있습니다. 네트워크에 내부 WSUS 서버가 있는 경우 Microsoft 바이러스 백신은 이 서버에서 업데이트를 받을 수 있습니다. WSUS 서버(Windows Defender 바이러스 백신 업데이트는 WSUS 콘솔에서 정의 업데이트라고 함)에서 업데이트 설치가 승인되었고 클라이언트가 대상인지 확인하기만 하면 됩니다. GPO를 사용하여 올바른 WSUS 서버에 연결합니다.
경우에 따라 깨진 업데이트를 받은 후 Windows Defender가 제대로 작동하지 않을 수 있습니다. 그런 다음 현재 정의 데이터베이스를 재설정하고 다시 다운로드하는 것이 좋습니다.
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" –SignatureUpdate
Windows Server가 인터넷에 직접 액세스할 수 없는 경우 네트워크 폴더에서 Microsoft Defender를 업데이트할 수 있습니다.
Windows Defender 업데이트를 수동으로 다운로드(https://www.microsoft.com/en-us/wdsi/defenderupdates)하고 공유 네트워크 폴더에 저장합니다. Defender 업데이트가 있는 공유 폴더의 경로를 설정합니다.Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\mun-fs01\Defender
바이러스 백신 정의 업데이트 실행:
Update-MpSignature -UpdateSource FileShares
그룹 정책을 사용하여 Windows Defender 구성
그룹 정책을 사용하여 컴퓨터 및 서버에서 기본 Microsoft Defender 설정을 관리할 수 있습니다. 다음 GPO 섹션 사용:컴퓨터 구성 -> 관리 템플릿 -> Windows 구성요소 -> Windows Defender 바이러스 백신 .
이 섹션에서는 Microsoft Defender 설정을 관리하기 위한 100가지 이상의 다양한 옵션을 제공합니다.
예를 들어 바이러스 백신을 완전히 비활성화하려면 GPO 매개변수 "Windows Defender 바이러스 백신 끄기를 활성화해야 합니다. ".
사용 가능한 Defender 그룹 정책 설정에 대한 자세한 내용은 여기에서 찾을 수 있습니다. https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/use-group-policy-microsoft-defender-antivirus
Windows Defender 중앙 집중식 관리는 ASC(Azure Security Center) 포털에서 유료 구독(호스트당 약 $15/월)을 통해 사용할 수 있습니다.