Windows Defender

В последних обновлениях Windows Defender при скачивании/установке можно увидеть следующую надпись: «Найдена программа-шантажист». Для последующей установки необходимо внести установчный файл агента в исключения.

Примечание

На данный момент проблема наблюдается на агентах версии 2539, 2537 и ниже.

Также требуется внести исключения для основных файлов агента, которые указаны в Исключения антивируса <antivirus_exclusions_index>.

Также Defender может обнаружить еще одну угрозу, которую можно добавить в исключения командой:

powershell -inputformat none -outputformat none -NonInteractive -Command WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ThreatIDDefaultAction_Ids=268775 ThreatIDDefaultAction_Actions=6

Название угрозы: PUA:Win32/WinExecSvc threat description - Microsoft Security Intelligence

Не отслеживаются файловые операции

Windows Defender в обновлении 1.293.1336.0 начал блокировать работу модуля Staffcop по контролю над файловыми операциями. Для того чтобы узнать, заблокировал ли Windows Defender файловый драйвер, вам нужно проверить наличие файла

C:\Windows\System32\drivers\CaptureFileMonitor.sys

Если указанного файла нет – значит вам нужно выполнить действия описанные в этой статье.

Внесение исключений

Через cmd:

WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ThreatIDDefaultAction_Ids=252013 ThreatIDDefaultAction_Actions=6

Исключения через политики

  1. Нажмите клавиши Win+R на клавиатуре и введите gpedit.msc

  2. В открывшемся редакторе локальной групповой политики перейдите к разделу «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Антивирусная программа Защитник Windows».

../../_images/defender_1.png

Отключение Windows Defender

Если версия агента выше 5.8.2495, то исключения вносятся автоматически при установке агента. Однако, может быть недоступна загрузка агента, поэтому нужно отключить защитник или внести исключения, как было рекомендовано ранее.

  1. Нажмите клавиши Win+R на клавиатуре и введите gpedit.msc

  2. В открывшемся редакторе локальной групповой политики перейдите к разделу «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Антивирусная программа Защитник Windows».

../../_images/defender_2.png

  1. Дважды нажмите по параметру «Выключить антивирусную программу Защитник Windows» и выберите «Включено»

../../_images/defender_3.png

  1. Аналогичным образом отключите параметры «Разрешить запуск службы защиты от вредоносных программ» и «Разрешить постоянную работу службы защиты от вредоносных программ» (установить «Отключено»).

  2. Зайдите в подраздел «Защита в режиме реального времени», дважды кликните по параметру «Выключить защиту в реальном времени» и установите «Включено».

  3. Дополнительно отключите параметр «Проверять все загруженные файлы и вложения» (здесь следует установить «Отключено»).

  4. В подразделе «MAPS» отключите все параметры, кроме «Отправлять образцы файлов».

  5. Для параметра «Отправлять образцы файлов, если требуется дальнейший анализ» установите «Включено», а внизу слева (в том же окне настройки политики) задайте «Никогда не отправлять».

../../_images/defender_4.png

Примечание

В случае, если Windows Defender уже обновился и удалил файлы агента, вам необходимо сначала внести исключения, а затем переустановить агента.