Windows Defender

Windows Defender в обновлении 1.293.1336.0 начал блокировать работу модуля Staffcop по контролю над файловыми операциями. Для того чтобы узнать, заблокировал ли Windows Defender файловый драйвер, вам нужно проверить наличие файла

C:\Windows\System32\drivers\CaptureFileMonitor64.sys

Если указанного файла нет – значит вам нужно выполнить действия описанные в этой статье.

Внесение исключений

Через cmd:

powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -tiddefaca Allow -tiddefaci 252013

В случае, если powershell заблокирован, исключения можно внести так:

WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ThreatIDDefaultAction_Ids=252013 ThreatIDDefaultAction_Actions=6

Исключения через политики

  1. Нажмите клавиши Win+R на клавиатуре и введите gpedit.msc
  2. В открывшемся редакторе локальной групповой политики перейдите к разделу «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Антивирусная программа Защитник Windows».
../../_images/defender_1.png

Отключение Windows Defender

Если версия агента выше 5.8.2495, то исключения вносятся автоматически при установке агента. Однако, может быть недоступна загрузка агента, поэтому нужно отключить защитник или внести исключения, как было рекомендовано ранее.

  1. Нажмите клавиши Win+R на клавиатуре и введите gpedit.msc
  2. В открывшемся редакторе локальной групповой политики перейдите к разделу «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Антивирусная программа Защитник Windows».
../../_images/defender_2.png
  1. Дважды нажмите по параметру «Выключить антивирусную программу Защитник Windows» и выберите «Включено»
../../_images/defender_3.png
  1. Аналогичным образом отключите параметры «Разрешить запуск службы защиты от вредоносных программ» и «Разрешить постоянную работу службы защиты от вредоносных программ» (установить «Отключено»).
  2. Зайдите в подраздел «Защита в режиме реального времени», дважды кликните по параметру «Выключить защиту в реальном времени» и установите «Включено».
  3. Дополнительно отключите параметр «Проверять все загруженные файлы и вложения» (здесь следует установить «Отключено»).
  4. В подразделе «MAPS» отключите все параметры, кроме «Отправлять образцы файлов».
  5. Для параметра «Отправлять образцы файлов, если требуется дальнейший анализ» установите «Включено», а внизу слева (в том же окне настройки политики) задайте «Никогда не отправлять».
../../_images/defender_4.png

Примечание

В случае, если Windows Defender уже обновился и удалил файлы агента, вам необходимо сначала внести исключения, а затем переустановить агента.