Windows Defender

В последних обновлениях Windows Defender при скачивании или установке можно увидеть надпись: Найдена программа-шантажист. Для установки внесите установочный файл агента в исключения.

Примечание

На данный момент проблема наблюдается на агентах версии 2539, 2537 и ниже.

Кроме этого, внесите исключения для основных файлов агента, указанных в Исключениях антивируса.

Defender может обнаружить еще одну угрозу — PUA:Win32/WinExecSvc threat description — Microsoft Security Intelligence.

Добавьте ее в исключения командой:

powershell -inputformat none -outputformat none -NonInteractive -Command WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ThreatIDDefaultAction_Ids=268775 ThreatIDDefaultAction_Actions=6

Не отслеживаются файловые операции

Windows Defender в обновлении 1.293.1336.0 начал блокировать работу модуля Staffcop по контролю над файловыми операциями. Для того чтобы узнать, заблокировал ли Windows Defender файловый драйвер, проверьте наичие файлв:

C:\Windows\System32\drivers\CaptureFileMonitor.sys

Если файла нет – выполните указанные в этой статье действия.

Внесение исключений

Через CMD:

WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ThreatIDDefaultAction_Ids=252013 ThreatIDDefaultAction_Actions=6

Исключения через политики

  1. Нажмите клавиши Win+R на клавиатуре и введите gpedit.msc.

  2. В открывшемся редакторе локальной групповой политики перейдите к разделу Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsАнтивирусная программа Защитник Windows.

../../_images/defender_1.png

Отключение Windows Defender

Если версия агента выше 5.8.2495, исключения вносятся автоматически при установке агента. Однако загрузка агента может быть недоступна, поэтому отключите защитник или внесите исключения, как было рекомендовано ранее.

  1. Нажмите клавиши Win+R на клавиатуре и введите gpedit.msc

  2. В открывшемся редакторе локальной групповой политики перейдите к разделу Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsАнтивирусная программа Защитник Windows.

../../_images/defender_2.png

  1. Дважды нажмите параметр Выключить антивирусную программу Защитник Windows и выберите Включено:

../../_images/defender_3.png

  1. Отключите параметры Разрешить запуск службы защиты от вредоносных программ и Разрешить постоянную работу службы защиты от вредоносных программ.

  2. Зайдите в подраздел Защита в режиме реального времени, установите параметр Выключить защиту в реальном времени в значение Включено.

  3. Отключите параметр Проверять все загруженные файлы и вложения.

  4. В подразделе MAPS отключите все параметры, кроме Отправлять образцы файлов.

  5. Включите Отправлять образцы файлов, если требуется дальнейший анализ, а внизу слева (в том же окне настройки политики) задайте Никогда не отправлять.

../../_images/defender_4.png

Примечание

В случае если Windows Defender уже обновился и удалил файлы агента, вам сначала внесите исключения, а затем переустановите агент.