Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 10 (http://forum.oszone.net/forumdisplay.php?f=118)
-   -   уведомления антивируса (http://forum.oszone.net/showthread.php?t=346417)

Mr.Merak 13-09-2020 10:00 2933843
уведомления антивируса
 
Подскажите, есть ли способ получать уведомления когда встроенный антивирус 10ки что-то делает с файлами, например, помещает в карантин?

Vadikan 13-09-2020 10:44 2933850
Пуск - (поиск) - безопасность Windows - Настройки - Уведомления
https://i.imgur.com/XT2NfW0.png

Mr.Merak 13-09-2020 12:20 2933864
спс
странно, все галки стоят, но уведомления о переносе в карантин не было...

только что проверил - скачал активатор с трекера и антивирус молча его съел

Vadikan 13-09-2020 13:30 2933870
Mr.Merak,

1. Убедитесь, что включены уведомления в Параметры - (поиск) notifications
2. Покажите рез-т команд в PowerShell от имени администратора
Код:
Get-MpThreat
Get-MpThreatDetection

sondz7 13-09-2020 14:13 2933872
Цитата:
Цитата Mr.Merak
есть ли способ получать уведомления когда встроенный антивирус 10ки что-то делает с файлами, например, помещает в карантин? »
можно посмотреть что и куда он удалил/поместил здесь C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service

Mr.Merak 13-09-2020 14:24 2933874
Vadikan, получилось, спс
(были выключены уведомления)

Mr.Merak 02-10-2020 13:00 2935407
еще вопрос возник)

Можно как-то заставить антивирус спрашивать выбор действий при обнаружении угрозы? Т.е. сейчас происходит постфактум - что то не понравилось и он файл "сьел", потом нужно лезть в журнал и разрешать (или нет).

Vadikan 02-10-2020 13:18 2935412
Mr.Merak, такой возможности нет.

https://docs.microsoft.com/powershel...?view=win10-ps
С set-mppreference можно задать дефолтные действия для разных типов угроз
Код:
[-LowThreatDefaultAction <ThreatAction>]
  [-ModerateThreatDefaultAction <ThreatAction>]
  [-HighThreatDefaultAction <ThreatAction>]
  [-SevereThreatDefaultAction <ThreatAction>]
Доступные
Код:
Quarantine
Remove
Ignore
В общем, этого достаточно должно быть.

Mr.Merak 02-10-2020 13:31 2935413
ну ясно, кастыли
нормального способа нет

Mr.Merak 13-10-2020 07:59 2936271
https://www.nirsoft.net/utils/window...eats_view.html

Mr.Merak 11-04-2022 10:15 2983067
Цитата:
Цитата Vadikan
В общем, этого достаточно должно быть. »
как выяснилось - нет

Mr.Merak 19-05-2022 10:43 2985289
Как (безуспешно) укротить Windows Defender
 
Тема изначально от сюда, но я решил создать новую, чтобы подробно описать проблему по шагам. Может у кого появятся свежие идеи на эту тему.

Цель. Я хочу чтобы дефендер только уведомлял о найденной угрозе и сам никаких действий к ней не применял.

Теория нам говорит, что нужно для начала в powershell сделать так:
Код:
Set-MpPreference -UnknownThreatDefaultAction 9
Set-MpPreference -LowThreatDefaultAction 9
Set-MpPreference -ModerateThreatDefaultAction 9
Set-MpPreference -HighThreatDefaultAction 9
Set-MpPreference -SevereThreatDefaultAction 9
Проверяем:
Код:
Get-MpPreference| Out-String -stream | Select-String action
(еще подтверждение в: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction\)

Также, в настройках нам нужно убрать галку с "Защита от подделки". Опции для её отключения через powershell нет, но так мы можем убедится что оно и вправду отключено:
Код:
get-MpComputerStatus| Out-String -stream | Select-String tamper
(еще подтверждение в: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features\)

Теперь берем вирусню, к примеру на MalwareBazaar и смотрит что произойдёт после распаковки.

Результат. Мало того что он "съедет" вирусню, но также делает пометку в журнале VirTool:Win32/DefenderTamperingRestore и удаляет наши значения в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction\

Все это актуально для Win10 21H2 Pro.


Время: 12:51.

Время: 12:51.
© OSzone.net 2001-