Удалить windows defender powershell

Обновлено: 03.07.2024

удалить windows defender

Можно ли полностью удалить Защитник Windows?

И так, как я и писал выше, мой Windows Defender на 2019 сервере стал кушать много CPU, примерно 25%, нечто подобное я уже видел на сервере печати, где процесс "Print Filter Pipeline Host " на 100% использовал процессор или же недавний пример с процессом Wmiprvse.exe. Пример такого поведения в Windows Server предостаточно, было принято решение отключить защитника, как службу да и еще к тому же установить сторонний антивирус Касперского, так сказать убить два зайца сразу. И какого же было мое удивление, когда я начал искать информацию об отключении Windows Defener, что в Windows Server 2016 и 2019, его можно удалить, как обычный компонент. Это правильнее, так как в системе становится меньше служб и меньше нужно обновлять ее, короче одни плюсы.

Методы удаления Windows Defender

Хоть разработчики и обошли данной возможностью Windows 10, но в Windows Server 2016 и 2019 она есть и вы полностью можете убрать из них защитник. Сделать это можно тремя методами:

  • Используя оснастку "Диспетчер серверов"
  • Оболочку PowerShell

Что конкретно мы деинсталлируем данными методами. Откройте через пуск "Параметры Windows", или просто нажмите сочетание клавиш WIN+I. Перейдите в раздел "Обновление и безопасность".

Параметры Windows Server 2019

Находим пункт "Безопасность Windows" и нажимаем "Открыть службу безопасность Windows".

Безопасность Windows Server 2019

У вас откроется Windows Defender, в котором можно управлять четырьмя пунктами:

  1. Защита от вирусов и угроз
  2. Брандмауэр и безопасность сети
  3. Управление приложениями/браузер
  4. Безопасность устройств

windows defender в Windows Server 2019

Если посмотреть службы в Windows Server 2019, то вы обнаружите вот такие две:

  • Антивирусная программа "Защитник Windows"
  • Брандмауэр Защитника Windows

Службы защитника Windows Defender в Windows Server 2019

Удаление защитника Windows через диспетчер серверов

Оснастка "Диспетчер серверов" или ServerManager.exe, это основной инструмент администрирования серверов, начиная с Windows Server 2012 R2, который плотно вошел в инструменты системного администратора. Открываем ее и переходим в пункт "Управление - Удаление роли или компоненты".

удалить windows defender из диспетчера серверов

Выбираем сервер с которого мы планируем полностью удалить защитник Windows. Напоминаю, что "Диспетчер серверов" может управлять и удаленным сервером или целым пулом серверов. В моем примере я выберу свой локальный сервер, на котором я устанавливал WDS роль.

полностью удалить защитник из диспетчера серверов

можно ли удалить windows defender

Снимаем галку "Windows Defender Antivirus", это позволит его полностью удалить с сервера. Нажимаем далее.

Удалить Windows Defender Antivirus

Нажимаем кнопку "Удалить". Сам процесс занимает около минуты.

удалить windows defender-04

После удаления компонента, нужна обязательная перезагрузка сервера. Выполните ее, когда у вас будет возможность, но лучше не затягивать, сервера начинают тупить в таком состоянии ожидания.

Перезагрузка после удаления Windows Defender

Все, теперь после перезагрузки защитник windows удален с сервера. Можете это проверить. Откройте пункт "Безопасность Windows" и убедитесь, что там пропал пункт "Защита от вирусов и угроз"

защитник windows удален с сервера

Как удалить защитник виндовс через PowerShell

Windows PowerShell, не зря называют мощным средством по управлению серверов, его возможности практически бесконечны. Полностью удалить защитник в Windows Server 2019, можно специальным командлетом. Для этого для начала проверьте состояние службы и есть ли у вас вообще в системе Windows Defender. Для этого в командной строке введите команду:

Как видите состояние у Windefend "RUNNING", что означает, что она запущена.

Состояние службы Windefend

Можно посмотреть ее состояние и через оснастку PowerShell, лучше ее открыть от имени администратора. Введите команду:

Статус службы Windefend в powershell

Чтобы полностью удалить защитник виндовс, вам необходимо в PowerShell ввести вот такую команду:

Начнется процесс деинсталляции компонента Windows Server 2019, вы будите видеть шкалу прогресса.

как удалить защитник windows из powershell

как удалить защитник windows-06

Как удалить защитник windows через Windows Admin Center

Напоминаю, что Windows Admin Center - это новый инструмент управления серверами, локальными и удаленными, из браузера. Он легко может удалять компоненты, в нашем случае Windows Defender. Открываем его и переходим пункт "Роли и компоненты", находим "Windows Defender Antivirus" и удаляем его.

как удалить защитник windows в Windows Admin Center-01

Появится всплывающее окно, где будут проверенны зависимости, если их нет, нажмите кнопку "Да", чтобы запустить процесс деинсталляции.

как удалить защитник windows в Windows Admin Center-02

В оповещениях вы можете следить за процессом удаления, после чего вам потребуется перезагрузка.

date

07.02.2017

directory

Windows 10

comments

комментария 2

Windows Defender достаточно производителен и не требователен к системным ресурсам, он может быть использован не только на домашних компьютерах, но и в сети небольших организаций. Антивирус можно обновлять как с сайтов Microsoft, так и с внутреннего WSUS сервера. Однако, основным плюсом Windows Defender является тот факт, что он уже предустановлен и активен в Windows, и практически не требует ручной донастройки.


Совет. На данный момент Windows Defender является частью системы только на пользовательских ОС, и не доступен в Windows Server. Однако в предрелизе Windows Server 2016, Windows Defender может быть установлен как отдельный компонент сервера командой:

В большинство случае Windows Defender хорошо работает и со стандартными настройками, но в случае необходимости их можно изменить. Большое количество настроек Defender можно изменить через PowerShell с помощью специального модуля Defender. Впервые он появился в PowerShell 4.0 и разработан специально для управления Windows Defender. Этот модуль содержит 11 командлетов.

Полный список командлетов модуля можно вывести с помощью команды:

Get-Command -Module Defender


  • Add-MpPreferenc
  • Get-MpComputerStatus

Get-MpComputerStatus – позволяет вывести текущий статус (включенные опции, дату и версию антивирусных баз, время последнего сканирования и т.д.)


Например, нам требуется включить сканирование внешних USB накопителей. Получим текущие настройки командой:

Get-MpPreference | fl disable*

Как вы видит сканирование USB накопителей отключено (DisableRemovableDriveScanning = True). Включим сканирование командой:

Set-MpPreference -DisableRemovableDriveScanning $false


Также, чтобы изменить настройки антивируса можно использовать командлеты Add-MpPreference и Remove-MpPreference. Например, добавим несколько папок в список исключений антивируса (сканирование в них не будет выполняться):

Add-MpPreference -ExclusionPath C:\Video, C:\install

Полный список исключений Windows Defender можно вывести так:

Get-MpPreference | fl excl*

Удалим конкретную папку из списка исключений:

Remove-MpPreference -ExclusionPath C:\install


Для обновления антивирусных сигнатур в базе используется команда Update-MpSignature. С помощью аргумента UpdateSource можно указать источник обновлений.

Возможны следующие источники обновлений:


Update-MpSignature -UpdateSource FileShares
Update-MpSignature

Выполнить сканирование системы можно с помощью командлета Start-MpScan. Аргумент ScanType позволяет указать один из трех режимов сканирования.

  • FullScan – полное сканирование всех файлов на компьютере, в том числе реестра и запушенных программ
  • QuickScan – быстрый анализ наиболее частых мест, которые могут быть инфицированы
  • CustomScan – пользователь сам может указать диски и папки для сканирования.

Например, чтобы просканировать каталог “C:\Program Files”:

Start-MpScan -ScanType CustomScan -ScanPath ”C:\Program Files”


Все командлеты модуля Defender могут быть использованы для управления как локальным, так и удаленным компьютером. Для подключения к удаленному компьютеру нужно использовать опцию CimSession. Например, чтобы получить время последнего сканирования на удаленном компьютере с именем msk-wks-1, запустите такую команду (WimRM на удаленном ПК должен быть включен):

$session = NewCimSession -ComputerName msk-wks-1
Get-MpComputerStatus -CimSession $session | fl fullscan*

Если нужно отключить защиту Defender в реальном времени:

Set-MpPreference -DisableRealtimeMonitoring $true

Полностью отключить Windows Defender на компьютере можно, добавив в реестр ключ с помощью команды PowerShell:

New-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender” -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force

Windows Defender достаточно производителен и нетребователен к ресурсам. Он умеет обновляться с внутреннего сервера обновлений WSUS, так что его вполне можно использовать не только на домашних компьютерах, но и в корпоративных сетях. Но основным достоинством Defender является простота использования, ведь он уже имеется в системе, включен по умолчанию и практически не требует настройки.

В большинстве случаев Defender неплохо работает с настройками по умолчанию, однако иногда их все же требуется изменить. Наибольшее количество настроек доступно из консоли PowerShell, где для этих целей есть специальный модуль Defender. Он появился в PowerShell 4.0 и предназначен для управления Windows Defender. В него входит 11 командлетов, которые мы сегодня и рассмотрим.

список командлетов для управления Defender

вывод состояния защиты

Get-MpPreference | fl disable*

Параметр DisableRemovableDriveScanning имеет значение True, т.е. сканирование съемных дисков отключено. Включим его командой:

Set-MpPreference -DisableRemovableDriveScanning $false

вывод настроек Defender

Также для добавления\удаления новых параметров можно использовать командлеты Add-MpPreference и Remove-MpPreference. Для примера добавим в исключения антивируса пару папок:

Add-MpPreference -ExclusionPath C:\Temp, C:\Windows

А затем удалим одну:

Remove-MpPreference -ExclusionPath C:\Windows

изменение настроек Defender

Запуск обновления производится командлетом Update-MpSignature. По умолчанию для обновления Defender использует дефолтные настройки компьютера, но с помощью параметра UpdateSource можно указать, откуда именно забирать обновления. Для него можно указать следующие значения:

Для примера запустим обновление и укажем в качестве источника Microsoft Malware Protection Center:

Update-MpSignature -UpdateSource MMPC

запуск обновления вирусных баз

Примечание. Если вы хотите указать в качестве источника файловую шару, то надо предварительно скачать необходимые обновления в Microsoft Malware Protection Center и поместить их в сетевую папку, после чего прописать путь к папке в настройках антивируса. Сделать это можно командой:

Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\server\share

Для запуска сканирования предназначен командлет Start-MpScan. Тип сканирования задается параметром ScanType, который может принимать одно из трех значений:

Для примера запустим выборочную проверку системной папки Windows командой:

Start-MpScan -ScanType CustomScan -ScanPath C:\Windows

запуск сканирования

Стоит упомянуть, что все командлеты могут выполняться не только локально, но и удаленно. Для этого он имеют параметр CimSession. Для примера посмотрим дату последней проверки на удаленном компьютере wks81:

$session = NewCimSession -ComputerName wks81
Get-MpComputerStatus -CimSession $session | fl fullscan*

Полностью отключаем Windows Defender и запускаем свой код в системе одним файлом

Сегодня мы поговорим о полном отключении Windows Defender в системе в обход всех защит и даже о том, как сделать это незаметно. С пошаговыми комментариями для самых маленьких, всё, как ты любишь.

Отключать Windows Defender мы будем наглядно и с использованием PowerShell, новой коммандной оболочки от Microsoft с расширенным функционалом, который мы как раз и используем.

Скрипт надо запускать от имени администратора. О том, как это сделать с привелегированой записи в обход UAC мы поговорим в следующий раз.

Так что, тебе не нравится Windows Defender? Мне тоже. Будем отключать. Для этого создаем файл fuckwd.bat:

А в добавок можно ещё и отключить все правила windows firewall одной командой:

Или добавить .exe и .bat в список исключенияй Defender SmartScreen:

Смотрим дальше. Что такое netsh? Это штататная утилита Windows, позволяющая изменить практически все сетевые настройки или просмотреть их. netsh advfirewall set allprofiles state off выключает все профили.

Но не спеши радоваться, друг мой. Недавно Microsoft добавила новую функцию в Windows под названием «Защита от изменений» (Tamper protection). Она предотвращает отключение защиты в реальном времени и изменение ключей реестра Windows Defender с помощью powershell или cmd. Если отключать защиту в реальном времени, тебе придется делать это вручную. Но не парься, здесь нам на помощь придут утилитки Nsudo и скрипт Disable-Tamper.cmd.

Начнём с того что такое Nsudo. Это простой портативный и абсолютно легитимный инструмент, позволяющий запускать процессы с правами System или TrustedInstaller.

Не секрет, что далеко не все операции с реестром, конфигурационными и исполняемыми файлами доступны пользователю, работающему даже с администраторскими привилегиями. Если владельцем объекта являются TrustedInstaller или System, то они попросту не позволят вам изменить файл или настройку, поскольку обладают еще более высокими привилегиями.

Всё было плохо и неудобно, и поэтому для этих целей разработчиком Kenji Mouri была создана NSudo — портативная утилита, позволяющая делегировать права служб TrustedInstaller и System обычному администратору.

И ещё одна полезная программа из комплекта Windows, которую мы будем использовать для загрузки необходимых нам инструментов, bitsadmin. Документация Microsoft говорит нам, что програма bitsadmin предназначена для загрузки файлов и является стандартным компонентом всех поддерживаемых в настоящее время операционных систем Windows. Опа, это как раз то, что нам и нужно. Загружаем Nsudo в фоновом режиме (пользователь ничего не увидит) в директорию %temp%, то есть там где хранятся временные файлы:

Дальше запускаем Nsudo и останавливаем службу Windows Defender с правами системы:

Cтоит добавить, перезадание переменных с названиями директорий происходит для того, чтобы не привлечь внимание антивируса к подозрительной, по его мнению, активности.

Всё. Загружаем наш снаряд и выполняем полезную нагрузку:

Идея стара как мир и в том или ином виде используется практически во всех зловредах. Но в данном случае подход интересен и просто для понимания и объяснения.

На момент написания статьи даже батник уже палился антивирусом, но он же на то и батник, что его можно быстро переписать. Подход остается тем же.

Удачи тебе в отключении Windows Defender.

Админ сайта. Публикует интересные статьи с других ресурсов, либо их переводы. Если есть настроение, бывает, что пишет и что-то своё.

Комментарии

This is patched by windows defender wait for Defeat-Defender-V1.2 i will release soon

Thank you for you work. We closely watch for your releases.

Добавить комментарий Отменить ответ

Мы уделяем очень много внимания тестированию Web приложений. И не просто так. По версии Positive Technologies, 19%.

Прокисшие прокси: перехватываем трафик маскируясь как прокси WPAD

Прокисшие прокси: перехватываем трафик маскируясь как прокси WPAD

Представь ситуацию, ты оказался подключен к точке доступа Wi-Fi в ресторане, клубе или ещё каком-нибудь другом.

Создаём поддельную точку доступа Evil Twin Wi-Fi

Создаём поддельную точку доступа Evil Twin Wi-Fi

На базе: приватные базы для брута. Создание, эксплуатация, профит. Часть 2

На базе: приватные базы для брута. Создание, эксплуатация, профит. Часть 2

Привет, читатель. Это вторая часть статьи о приватных базах. Если в первой части мы набирали материал, то во второй я.

Пишем RAT (remote administration tool) на C. Часть 1

Пишем RAT (remote administration tool) на C. Часть 1

Эту статью можно назвать ремейком одной из наших прошлых публикаций, в которой мы разбирали RAT на Python. Возможно, вы.

ADский пентест: как взламывают Active Directory

ADский пентест: как взламывают Active Directory

С момента своего появления в 2000 году Active Directory стала наиболее важной частью большинства предприятий. Проблема.

BloodHound 4.0.1 — твоя ищейка в Active Directory и Azure

BloodHound 4.0.1 — твоя ищейка в Active Directory и Azure

Если кто не знает, BloodHound это опенсорсный инструмент, позволяющий визуализировать взаимоотношения в Active.

Evilginx2: фишинг 2FA без проблем

Evilginx2: фишинг 2FA без проблем

Думаешь, 2FA невозможно обойти? Но не всё так плохо. Замечательный парень kgretzky написал тулзу под названием.

Raspberry sPy: делаем шпионское устройство из Raspberry Pi

Raspberry sPy: делаем шпионское устройство из Raspberry Pi

Все слышали про LAN Turtle, девайс от Hak5? Это прошлое. Сегодня мы научимся собирать и настраивать полноценный сетевой.

Zerologon: новый способ получить привелегии админа в Domain Controler через обход криптографии Netlogon

Zerologon: новый способ получить привелегии админа в Domain Controler через обход криптографии Netlogon

Критическая уязвимость, обнаруженная Томом Тервуртом из Secura, и получившая название Zerologon (CVE-2020-1472) и.

SCADA? Цель для гада

SCADA? Цель для гада

Мы постоянно слышим о кибератаках на предприятия и электрические системы: хакеры останавливают обогащающие уран.

Загружаем малварь на компьютер жертвы: от макросов до дроперов для самых маленьких и ленивых

Загружаем малварь на компьютер жертвы: от макросов до дроперов для самых маленьких и ленивых

В этом руководстве показано, как удалить или отключить антивирусную защиту Защитника Windows в Windows Server 2016. Как вы, возможно, знаете, в Server 2016 встроена защита от вирусов и вредоносных программ через приложение Защитника Windows.

В Server 2016, если вы хотите использовать другую другую антивирусную программу для защиты вашего Сервера, Защитник Windows не отключит себя (как это происходит в Windows 10), чтобы максимизировать защиту в Server 2016. Итак, если вы хотите удалить или отключить Защитник Antivirus в Server 2016, вы должны сделать это вручную.

Как отключить или удалить антивирус Защитника Windows в Server 2016

Как отключить или удалить антивирус Защитника Windows в Server 2016.

Часть 1. Как отключить Защитник Windows в реальном времени в Windows Server 2016.
Часть 2. Как удалить Защитник Windows в Server 2016.

Часть 1. Как отключить защиту в реальном времени в Защитнике Windows в Server 2016.

Чтобы временно отключить Защиту Windows в реальном времени в Server 2016 через графический интерфейс, перейдите на настройки -> Обновить безопасность -> Защитник Windows и установить Защита в режиме реального времени в OFF. *

отключить Real Time Protection сервер 2016

Чтобы навсегда отключить Защитника Windows в Windows Server 2016:

1. открыто PowerShell как администратор.
2. Введите следующую команду:

  • Set-MpPreference -DisableRealtimeMonitoring $ true

отключить Windows Defender Server 2016 - PowerShell

Примечание. Чтобы снова включить защиту в режиме реального времени, введите в Windows PowerShell (Admin) следующую команду, а затем перезапуск сервер:

  • Set-MpPreference -DisableRealtimeMonitoring $ false

Часть 2. Как удалить Защитник Windows в Server 2016.

Чтобы полностью удалить Защитник Windows из Windows Server 2016, вы можете использовать один из следующих способов:

  • Способ 1. Удалите Защитник Windows с помощью PowerShell.
  • Способ 2. Удалите Защитника Windows в Server 2016 с помощью командной строки DISM (DISM).
  • Способ 3. Удалите Защитника Windows с помощью функции «Удалить роли» Особенности мастера.

Способ 1. Удалите Защитник Windows с помощью PowerShell.

Чтобы удалить Защитника Windows с помощью PowerShell:

1. открыто PowerShell как администратор.
2. Введите следующую команду и нажмите Введите следующую команду и нажмите Войти:

  • Удалить-WindowsFeature -Имя Windows-Защитник

удалить Windows Defender Server 2016 - PowerShell

3. Перезагрузите сервер. *

* Примечание. Чтобы переустановить функцию Защитника Windows, введите в PowerShell следующую команду:

  • Установить-WindowsFeature -Имя Windows-Защитник

Способ 2. Удалите Защитника Windows в Server 2016 с помощью DISM в командной строке.

Чтобы удалить Защитника с помощью DISM: *

* Совет: Не используйте этот способ (DISM), чтобы удалить функцию Защитника Windows, потому что команда удаляет также установочный пакет Защитника Windows и делает невозможным переустановку Защитника Windows (по вашему желанию) в будущем.

1. открыто Командная строка как администратор.
2. Введите следующую команду и нажмите Войти:

  • Dism / online / Disable-Feature / FeatureName: Защитник Windows / Удалить / NoRestart / тихий

Удалить Защитник Windows 2016 - DISM

3. Перезагрузите сервер.

Способ 3. Удалите Защитника Windows с помощью функции «Удалить роли» Особенности мастера.

Чтобы удалить Защитник Windows в Windows Server 2016.

1. открыто Диспетчер серверов.
2. От управлять меню, нажмите Удалить Роли и особенности.

образ

3. Нажмите следующий на первых трех (3) экранах.

образ

4. В особенности опции, снимите флажок Функции Защитника Windows и нажмите следующий.

Удалить функцию Защитника Windows Server 2016

5. щелчок удалять удалить Защитника Windows.

образ

6. Перезагрузите ваш сервер.

* Примечание. Чтобы переустановить Антивирус Защитника Windows на Server 2016, следуйте приведенным ниже инструкциям.

1. открыто Диспетчер серверов и нажмите Добавьте роли и особенности.
2. щелчок следующий на первом для (4) экрана мастера.
3. На экране Особенности, проверьте Функции Защитника Windows, а также флажки «Защитник Windows» и «Графический интерфейс для Защитника Windows» и нажмите следующий.

image_thumb [33] _thumb

4. На экране подтверждения нажмите Установить.

образ

5. После завершения установки нажмите близко а также перезапуск ваш сервер.

образ

Это все, ребята! Это сработало для вас?
Пожалуйста, оставьте комментарий в разделе комментариев ниже или даже лучше: лайк и поделиться этим постом в социальных сетях, чтобы помочь распространить информацию об этом решении.

Читайте также: