查询和管理Windows Defender的防护级别设置;PowerShell中查询和管理Windows Defender的行为监控设置(Behavior Monitoring)
通常情况下,可以通过以下步骤来查询和管理Windows Defender的防护级别设置:
-
查询所有属性:首先,获取所有的
MpPreference属性,然后查看其中与防护级别相关的项。powershellCopy CodeGet-MpPreference这将列出所有的 Windows Defender 设置,包括防护级别相关的设置。
英文属性名称 中文属性名称 AllowDatagramProcessingOnWinServer 允许在 Windows 服务器上处理数据报 AllowNetworkProtectionDownLevel 允许低版本网络保护 AllowNetworkProtectionOnWinServer 允许在 Windows 服务器上启用网络保护 AllowSwitchToAsyncInspection 允许切换到异步检查 ApplyDisableNetworkScanningToIOAV 将禁用网络扫描应用于 IOAV AttackSurfaceReductionOnlyExclusions 攻击面减少仅排除项 AttackSurfaceReductionRules_Actions 攻击面减少规则_操作 AttackSurfaceReductionRules_Ids 攻击面减少规则_ID AttackSurfaceReductionRules_RuleSpecificExclusions 攻击面减少规则_特定排除项 AttackSurfaceReductionRules_RuleSpecificExclusions_Id 攻击面减少规则_特定排除项_ID BruteForceProtectionAggressiveness 暴力破解保护攻击性 BruteForceProtectionConfiguredState 暴力破解保护配置状态 BruteForceProtectionExclusions 暴力破解保护排除项 BruteForceProtectionLocalNetworkBlocking 暴力破解保护本地网络阻止 BruteForceProtectionMaxBlockTime 暴力破解保护最大阻止时间 BruteForceProtectionSkipLearningPeriod 暴力破解保护跳过学习期 CheckForSignaturesBeforeRunningScan 扫描前检查签名 CloudBlockLevel 云阻止级别 CloudExtendedTimeout 云扩展超时 ComputerID 计算机 ID ControlledFolderAccessAllowedApplications 受控文件夹访问允许的应用程序 ControlledFolderAccessDefaultProtectedFolders 受控文件夹访问默认保护文件夹 ControlledFolderAccessProtectedFolders 受控文件夹访问受保护文件夹 DefinitionUpdatesChannel 定义更新通道 DisableArchiveScanning 禁用归档扫描 DisableAutoExclusions 禁用自动排除 DisableBehaviorMonitoring 禁用行为监控 DisableBlockAtFirstSeen 禁用首次看到时阻止 DisableCacheMaintenance 禁用缓存维护 DisableCatchupFullScan 禁用补充完整扫描 DisableCatchupQuickScan 禁用补充快速扫描 DisableCoreServiceECSIntegration 禁用核心服务 ECS 集成 DisableCoreServiceTelemetry 禁用核心服务遥测 DisableCpuThrottleOnIdleScans 禁用空闲扫描时的 CPU 限制 DisableDatagramProcessing 禁用数据报处理 DisableDnsOverTcpParsing 禁用 TCP 解析 DNS DisableDnsParsing 禁用 DNS 解析 DisableEmailScanning 禁用电子邮件扫描 DisableFtpParsing 禁用 FTP 解析 DisableGradualRelease 禁用渐进发布 DisableHttpParsing 禁用 HTTP 解析 DisableInboundConnectionFiltering 禁用入站连接过滤 DisableIOAVProtection 禁用 IOAV 保护 DisableNetworkProtectionPerfTelemetry 禁用网络保护性能遥测 DisablePrivacyMode 禁用隐私模式 DisableQuicParsing 禁用 QUIC 解析 DisableRdpParsing 禁用 RDP 解析 DisableRealtimeMonitoring 禁用实时监控 Get-MpPreference
AllowDatagramProcessingOnWinServer : False
AllowNetworkProtectionDownLevel : False
AllowNetworkProtectionOnWinServer : False
AllowSwitchToAsyncInspection : True
ApplyDisableNetworkScanningToIOAV : False
AttackSurfaceReductionOnlyExclusions :
AttackSurfaceReductionRules_Actions :
AttackSurfaceReductionRules_Ids :
AttackSurfaceReductionRules_RuleSpecificExclusions :
AttackSurfaceReductionRules_RuleSpecificExclusions_Id :
BruteForceProtectionAggressiveness : 0
BruteForceProtectionConfiguredState : 0
BruteForceProtectionExclusions :
BruteForceProtectionLocalNetworkBlocking : False
BruteForceProtectionMaxBlockTime : 0
BruteForceProtectionSkipLearningPeriod : False
CheckForSignaturesBeforeRunningScan : False
CloudBlockLevel : 0
CloudExtendedTimeout : 0
ComputerID : BB85F817-6F10-43FC-8D83-26672BE9290B
ControlledFolderAccessAllowedApplications :
ControlledFolderAccessDefaultProtectedFolders : {N/A: Controlled Folder Access is disabled}
ControlledFolderAccessProtectedFolders :
DefinitionUpdatesChannel : 0
DisableArchiveScanning : False
DisableAutoExclusions : False
DisableBehaviorMonitoring : False
DisableBlockAtFirstSeen : False
DisableCacheMaintenance : False
DisableCatchupFullScan : True
DisableCatchupQuickScan : True
DisableCoreServiceECSIntegration : False
DisableCoreServiceTelemetry : False
DisableCpuThrottleOnIdleScans : True
DisableDatagramProcessing : False
DisableDnsOverTcpParsing : False
DisableDnsParsing : False
DisableEmailScanning : True
DisableFtpParsing : False
DisableGradualRelease : False
DisableHttpParsing : False
DisableInboundConnectionFiltering : False
DisableIOAVProtection : False
DisableNetworkProtectionPerfTelemetry : False
DisablePrivacyMode : False
DisableQuicParsing : True
DisableRdpParsing : False
DisableRealtimeMonitoring : False
DisableRemovableDriveScanning : True
DisableRestorePoint : True
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles : False
DisableScriptScanning : False
DisableSmtpParsing : False
DisableSshParsing : False
DisableTamperProtection : True
DisableTlsParsing : False
EnableControlledFolderAccess : 0
EnableConvertWarnToBlock : False
EnableDnsSinkhole : True
EnableFileHashComputation : False
EnableFullScanOnBatteryPower : False
EnableLowCpuPriority : False
EnableNetworkProtection : 0
EnableUdpReceiveOffload : False
EnableUdpSegmentationOffload : False
EngineUpdatesChannel : 0
ExclusionExtension :
ExclusionIpAddress :
ExclusionPath :
ExclusionProcess :
ForceUseProxyOnly : False
HideExclusionsFromLocalUsers : True
HighThreatDefaultAction : 0
IntelTDTEnabled :
LowThreatDefaultAction : 0
MAPSReporting : 2
MeteredConnectionUpdates : False
ModerateThreatDefaultAction : 0
NetworkProtectionReputationMode : 0
OobeEnableRtpAndSigUpdate : False
PerformanceModeStatus : 1
PlatformUpdatesChannel : 0
ProxyBypass :
ProxyPacUrl :
ProxyServer :
PUAProtection : 0
QuarantinePurgeItemsAfterDelay : 90
QuickScanIncludeExclusions : 0
RandomizeScheduleTaskTimes : True
RealTimeScanDirection : 0
RemediationScheduleDay : 0
RemediationScheduleTime : 02:00:00
RemoteEncryptionProtectionAggressiveness : 0
RemoteEncryptionProtectionConfiguredState : 0
RemoteEncryptionProtectionExclusions :
RemoteEncryptionProtectionMaxBlockTime : 0
RemoveScanningThreadPoolCap : False
ReportDynamicSignatureDroppedEvent : False
ReportingAdditionalActionTimeOut : 10080
ReportingCriticalFailureTimeOut : 10080
ReportingNonCriticalTimeOut : 1440
ScanAvgCPULoadFactor : 50
ScanOnlyIfIdleEnabled : True
ScanParameters : 1
ScanPurgeItemsAfterDelay : 15
ScanScheduleDay : 0
ScanScheduleOffset : 120
ScanScheduleQuickScanTime : 00:00:00
ScanScheduleTime : 02:00:00
SchedulerRandomizationTime : 4
ServiceHealthReportInterval : 60
SevereThreatDefaultAction : 0
SharedSignaturesPath :
SharedSignaturesPathUpdateAtScheduledTimeOnly : False
SignatureAuGracePeriod : 0
SignatureBlobFileSharesSources :
SignatureBlobUpdateInterval : 60
SignatureDefinitionUpdateFileSharesSources :
SignatureDisableUpdateOnStartupWithoutEngine : False
SignatureFallbackOrder : MicrosoftUpdateServer|MMPC
SignatureFirstAuGracePeriod : 120
SignatureScheduleDay : 8
SignatureScheduleTime : 01:45:00
SignatureUpdateCatchupInterval : 1
SignatureUpdateInterval : 0
SubmitSamplesConsent : 1
ThreatIDDefaultAction_Actions :
ThreatIDDefaultAction_Ids :
ThrottleForScheduledScanOnly : True
TrustLabelProtectionStatus : 0
UILockdown : False
UnknownThreatDefaultAction : 0
PSComputerName :英文属性名称 中文属性名称 英文值 中文值 AllowDatagramProcessingOnWinServer 允许在 Windows 服务器上处理数据报 False 假 AllowNetworkProtectionDownLevel 允许低版本网络保护 False 假 AllowNetworkProtectionOnWinServer 允许在 Windows 服务器上启用网络保护 False 假 AllowSwitchToAsyncInspection 允许切换到异步检查 True 真 ApplyDisableNetworkScanningToIOAV 将禁用网络扫描应用于 IOAV False 假 AttackSurfaceReductionOnlyExclusions 攻击面减少仅排除项 AttackSurfaceReductionRules_Actions 攻击面减少规则_操作 AttackSurfaceReductionRules_Ids 攻击面减少规则_ID AttackSurfaceReductionRules_RuleSpecificExclusions 攻击面减少规则_特定排除项 AttackSurfaceReductionRules_RuleSpecificExclusions_Id 攻击面减少规则_特定排除项_ID BruteForceProtectionAggressiveness 暴力破解保护攻击性 0 0 BruteForceProtectionConfiguredState 暴力破解保护配置状态 0 0 BruteForceProtectionExclusions 暴力破解保护排除项 BruteForceProtectionLocalNetworkBlocking 暴力破解保护本地网络阻止 False 假 BruteForceProtectionMaxBlockTime 暴力破解保护最大阻止时间 0 0 BruteForceProtectionSkipLearningPeriod 暴力破解保护跳过学习期 False 假 CheckForSignaturesBeforeRunningScan 扫描前检查签名 False 假 CloudBlockLevel 云阻止级别 0 0 CloudExtendedTimeout 云扩展超时 0 0 ComputerID 计算机 ID 计算机 ID ControlledFolderAccessAllowedApplications 受控文件夹访问允许的应用程序 ControlledFolderAccessDefaultProtectedFolders 受控文件夹访问默认保护文件夹 {N/A: 受控文件夹访问已禁用} {N/A: 受控文件夹访问已禁用} ControlledFolderAccessProtectedFolders 受控文件夹访问受保护文件夹 DefinitionUpdatesChannel 定义更新通道 0 0 DisableArchiveScanning 禁用归档扫描 False 假 DisableAutoExclusions 禁用自动排除 False 假 DisableBehaviorMonitoring 禁用行为监控 False 假 DisableBlockAtFirstSeen 禁用首次看到时阻止 False 假 DisableCacheMaintenance 禁用缓存维护 False 假 DisableCatchupFullScan 禁用补充完整扫描 True 真 DisableCatchupQuickScan 禁用补充快速扫描 True 真 DisableCoreServiceECSIntegration 禁用核心服务 ECS 集成 False 假 DisableCoreServiceTelemetry 禁用核心服务遥测 False 假 DisableCpuThrottleOnIdleScans 禁用空闲扫描时的 CPU 限制 True 真 DisableDatagramProcessing 禁用数据报处理 False 假 DisableDnsOverTcpParsing 禁用 TCP 解析 DNS False 假 DisableDnsParsing 禁用 DNS 解析 False 假 DisableEmailScanning 禁用电子邮件扫描 True 真 DisableFtpParsing 禁用 FTP 解析 False 假 DisableGradualRelease 禁用渐进发布 False 假 DisableHttpParsing 禁用 HTTP 解析 False 假 DisableInboundConnectionFiltering 禁用入站连接过滤 False 假 DisableIOAVProtection 禁用 IOAV 保护 False 假 DisableNetworkProtectionPerfTelemetry 禁用网络保护性能遥测 False 假 DisablePrivacyMode 禁用隐私模式 False 假 DisableQuicParsing 禁用 QUIC 解析 True 真 DisableRdpParsing 禁用 RDP 解析 False 假 DisableRealtimeMonitoring 禁用实时监控 False 假 英文属性名称 中文属性名称 英文值 中文值 AllowDatagramProcessingOnWinServer 允许在 Windows 服务器上处理数据报 False 假 AllowNetworkProtectionDownLevel 允许低版本网络保护 False 假 AllowNetworkProtectionOnWinServer 允许在 Windows 服务器上启用网络保护 False 假 AllowSwitchToAsyncInspection 允许切换到异步检查 True 真 ApplyDisableNetworkScanningToIOAV 将禁用网络扫描应用于 IOAV False 假 AttackSurfaceReductionOnlyExclusions 攻击面减少仅排除项 AttackSurfaceReductionRules_Actions 攻击面减少规则_操作 AttackSurfaceReductionRules_Ids 攻击面减少规则_ID AttackSurfaceReductionRules_RuleSpecificExclusions 攻击面减少规则_特定排除项 AttackSurfaceReductionRules_RuleSpecificExclusions_Id 攻击面减少规则_特定排除项_ID BruteForceProtectionAggressiveness 暴力破解保护攻击性 0 0 BruteForceProtectionConfiguredState 暴力破解保护配置状态 0 0 BruteForceProtectionExclusions 暴力破解保护排除项 BruteForceProtectionLocalNetworkBlocking 暴力破解保护本地网络阻止 False 假 BruteForceProtectionMaxBlockTime 暴力破解保护最大阻止时间 0 0 DisableRemovableDriveScanning 禁用可移动驱动器扫描 True 真 DisableRestorePoint 禁用还原点 True 真 DisableScanningMappedNetworkDrivesForFullScan 禁用对映射网络驱动器的完整扫描 True 真 DisableScanningNetworkFiles 禁用网络文件扫描 False 假 DisableScriptScanning 禁用脚本扫描 False 假 DisableSmtpParsing 禁用 SMTP 解析 False 假 DisableSshParsing 禁用 SSH 解析 False 假 DisableTamperProtection 禁用篡改保护 True 真 DisableTlsParsing 禁用 TLS 解析 False 假 EnableControlledFolderAccess 启用受控文件夹访问 0 0 EnableConvertWarnToBlock 启用将警告转换为阻止 False 假 EnableDnsSinkhole 启用 DNS 漏斗 True 真 EnableFileHashComputation 启用文件哈希计算 False 假 EnableFullScanOnBatteryPower 启用在电池电量下进行完整扫描 False 假 EnableLowCpuPriority 启用低 CPU 优先级 False 假 EnableNetworkProtection 启用网络保护 0 0 EnableUdpReceiveOffload 启用 UDP 接收卸载 False 假 EnableUdpSegmentationOffload 启用 UDP 分段卸载 False 假 EngineUpdatesChannel 引擎更新通道 0 0 ExclusionExtension 排除扩展 ExclusionIpAddress 排除 IP 地址 ExclusionPath 排除路径 ExclusionProcess 排除进程 ForceUseProxyOnly 强制仅使用代理 False 假 HideExclusionsFromLocalUsers 从本地用户隐藏排除项 True 真 HighThreatDefaultAction 高威胁默认操作 0 0 IntelTDTEnabled 启用 Intel TDT LowThreatDefaultAction 低威胁默认操作 0 0 MAPSReporting MAPS 报告 2 2 MeteredConnectionUpdates 计量连接更新 False 假 ModerateThreatDefaultAction 中等威胁默认操作 0 0 NetworkProtectionReputationMode 网络保护声誉模式 0 0 OobeEnableRtpAndSigUpdate 启用 RTP 和签名更新 False 假 英文属性名称 中文属性名称 英文值 中文值 PlatformUpdatesChannel 平台更新通道 0 0 ProxyBypass 代理绕过 ProxyPacUrl 代理 PAC URL ProxyServer 代理服务器 PUAProtection PUA 保护 0 0 QuarantinePurgeItemsAfterDelay 隔离项延迟清除时间 90 90 QuickScanIncludeExclusions 快速扫描包含排除项 0 0 RandomizeScheduleTaskTimes 随机化计划任务时间 True 真 RealTimeScanDirection 实时扫描方向 0 0 RemediationScheduleDay 修复计划日 0 0 RemediationScheduleTime 修复计划时间 02:00:00 02:00:00 RemoteEncryptionProtectionAggressiveness 远程加密保护攻击性 0 0 RemoteEncryptionProtectionConfiguredState 远程加密保护配置状态 0 0 RemoteEncryptionProtectionExclusions 远程加密保护排除项 RemoteEncryptionProtectionMaxBlockTime 远程加密保护最大阻止时间 0 0 RemoveScanningThreadPoolCap 移除扫描线程池限制 False 假 ReportDynamicSignatureDroppedEvent 报告动态签名丢失事件 False 假 ReportingAdditionalActionTimeOut 报告附加操作超时 10080 10080 ReportingCriticalFailureTimeOut 报告关键失败超时 10080 10080 ReportingNonCriticalTimeOut 报告非关键超时 1440 1440 ScanAvgCPULoadFactor 扫描平均 CPU 负载因子 50 50 ScanOnlyIfIdleEnabled 仅在空闲时扫描 True 真 ScanParameters 扫描参数 1 1 ScanPurgeItemsAfterDelay 扫描项延迟清除时间 15 15 ScanScheduleDay 扫描计划日 0 0 ScanScheduleOffset 扫描计划偏移 120 120 ScanScheduleQuickScanTime 扫描计划快速扫描时间 00:00:00 00:00:00 ScanScheduleTime 扫描计划时间 02:00:00 02:00:00 SchedulerRandomizationTime 调度程序随机化时间 4 4 ServiceHealthReportInterval 服务健康报告间隔 60 60 SevereThreatDefaultAction 严重威胁默认操作 0 0 SharedSignaturesPath 共享签名路径 SharedSignaturesPathUpdateAtScheduledTimeOnly 仅在计划时间更新共享签名路径 False 假 SignatureAuGracePeriod 签名 AU 宽限期 0 0 SignatureBlobFileSharesSources 签名 Blob 文件共享源 SignatureBlobUpdateInterval 签名 Blob 更新间隔 60 60 SignatureDefinitionUpdateFileSharesSources 签名定义更新文件共享源 SignatureDisableUpdateOnStartupWithoutEngine 启动时在没有引擎的情况下禁用更新 False 假 SignatureFallbackOrder 签名回退顺序 MicrosoftUpdateServer MMPC SignatureFirstAuGracePeriod 签名首次 AU 宽限期 120 120 SignatureScheduleDay 签名计划日 8 8 英文属性名称 中文属性名称 英文值 中文值 AllowDatagramProcessingOnWinServer 允许在 Windows 服务器上处理数据报 False 假 AllowNetworkProtectionDownLevel 允许低版本网络保护 False 假 AllowNetworkProtectionOnWinServer 允许在 Windows 服务器上启用网络保护 False 假 AllowSwitchToAsyncInspection 允许切换到异步检查 True 真 ApplyDisableNetworkScanningToIOAV 将禁用网络扫描应用于 IOAV False 假 AttackSurfaceReductionOnlyExclusions 攻击面减少仅排除项 PerformanceModeStatus 性能模式状态 1 1 PlatformUpdatesChannel 平台更新通道 0 0 ProxyBypass 代理绕过 ProxyPacUrl 代理 PAC URL ProxyServer 代理服务器 PUAProtection PUA 保护 0 0 QuarantinePurgeItemsAfterDelay 隔离项延迟清除时间 90 90 QuickScanIncludeExclusions 快速扫描包含排除项 0 0 RandomizeScheduleTaskTimes 随机化计划任务时间 True 真 RealTimeScanDirection 实时扫描方向 0 0 RemediationScheduleDay 修复计划日 0 0 RemediationScheduleTime 修复计划时间 02:00:00 02:00:00 RemoteEncryptionProtectionAggressiveness 远程加密保护攻击性 0 0 SignatureScheduleTime 签名计划时间 01:45:00 01:45:00 SignatureUpdateCatchupInterval 签名更新补充间隔 1 1 SignatureUpdateInterval 签名更新间隔 0 0 SubmitSamplesConsent 提交样本同意 1 1 ThreatIDDefaultAction_Actions 威胁 ID 默认操作_操作 ThreatIDDefaultAction_Ids 威胁 ID 默认操作_ID ThrottleForScheduledScanOnly 仅在计划扫描时限制 True 真 TrustLabelProtectionStatus 信任标签保护状态 0 0 UILockdown 用户界面锁定 False 假 UnknownThreatDefaultAction 未知威胁默认操作 0 0 PSComputerName 计算机名称 -
逐一查找:根据输出,查找与防护级别相关的属性或者类似的设置项。
powershellCopy CodeGet-MpPreference | Select-Object *这条命令将显示所有可用属性及其值,以便更容易找到需要的设置。
Get-MpPreference | Select-Object *
AllowDatagramProcessingOnWinServer : False
AllowNetworkProtectionDownLevel : False
AllowNetworkProtectionOnWinServer : False
AllowSwitchToAsyncInspection : True
ApplyDisableNetworkScanningToIOAV : False
AttackSurfaceReductionOnlyExclusions :
AttackSurfaceReductionRules_Actions :
AttackSurfaceReductionRules_Ids :
AttackSurfaceReductionRules_RuleSpecificExclusions :
AttackSurfaceReductionRules_RuleSpecificExclusions_Id :
BruteForceProtectionAggressiveness : 0
BruteForceProtectionConfiguredState : 0
BruteForceProtectionExclusions :
BruteForceProtectionLocalNetworkBlocking : False
BruteForceProtectionMaxBlockTime : 0
BruteForceProtectionSkipLearningPeriod : False
CheckForSignaturesBeforeRunningScan : False
CloudBlockLevel : 0
CloudExtendedTimeout : 0
ComputerID :
ControlledFolderAccessAllowedApplications :
ControlledFolderAccessDefaultProtectedFolders : {N/A: Controlled Folder Access is disabled}
ControlledFolderAccessProtectedFolders :
DefinitionUpdatesChannel : 0
DisableArchiveScanning : False
DisableAutoExclusions : False
DisableBehaviorMonitoring : False
DisableBlockAtFirstSeen : False
DisableCacheMaintenance : False
DisableCatchupFullScan : True
DisableCatchupQuickScan : True
DisableCoreServiceECSIntegration : False
DisableCoreServiceTelemetry : False
DisableCpuThrottleOnIdleScans : True
DisableDatagramProcessing : False
DisableDnsOverTcpParsing : False
DisableDnsParsing : False
DisableEmailScanning : True
DisableFtpParsing : False
DisableGradualRelease : False
DisableHttpParsing : False
DisableInboundConnectionFiltering : False
DisableIOAVProtection : False
DisableNetworkProtectionPerfTelemetry : False
DisablePrivacyMode : False
DisableQuicParsing : True
DisableRdpParsing : False
DisableRealtimeMonitoring : False
DisableRemovableDriveScanning : True
DisableRestorePoint : True
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles : False
DisableScriptScanning : False
DisableSmtpParsing : False
DisableSshParsing : False
DisableTamperProtection : True
DisableTlsParsing : False
EnableControlledFolderAccess : 0
EnableConvertWarnToBlock : False
EnableDnsSinkhole : True
EnableFileHashComputation : False
EnableFullScanOnBatteryPower : False
EnableLowCpuPriority : False
EnableNetworkProtection : 0
EnableUdpReceiveOffload : False
EnableUdpSegmentationOffload : False
EngineUpdatesChannel : 0
ExclusionExtension :
ExclusionIpAddress :
ExclusionPath :
ExclusionProcess :
ForceUseProxyOnly : False
HideExclusionsFromLocalUsers : True
HighThreatDefaultAction : 0
IntelTDTEnabled :
LowThreatDefaultAction : 0
MAPSReporting : 2
MeteredConnectionUpdates : False
ModerateThreatDefaultAction : 0
NetworkProtectionReputationMode : 0
OobeEnableRtpAndSigUpdate : False
PerformanceModeStatus : 1
PlatformUpdatesChannel : 0
ProxyBypass :
ProxyPacUrl :
ProxyServer :
PUAProtection : 0
QuarantinePurgeItemsAfterDelay : 90
QuickScanIncludeExclusions : 0
RandomizeScheduleTaskTimes : True
RealTimeScanDirection : 0
RemediationScheduleDay : 0
RemediationScheduleTime : 02:00:00
RemoteEncryptionProtectionAggressiveness : 0
RemoteEncryptionProtectionConfiguredState : 0
RemoteEncryptionProtectionExclusions :
RemoteEncryptionProtectionMaxBlockTime : 0
RemoveScanningThreadPoolCap : False
ReportDynamicSignatureDroppedEvent : False
ReportingAdditionalActionTimeOut : 10080
ReportingCriticalFailureTimeOut : 10080
ReportingNonCriticalTimeOut : 1440
ScanAvgCPULoadFactor : 50
ScanOnlyIfIdleEnabled : True
ScanParameters : 1
ScanPurgeItemsAfterDelay : 15
ScanScheduleDay : 0
ScanScheduleOffset : 120
ScanScheduleQuickScanTime : 00:00:00
ScanScheduleTime : 02:00:00
SchedulerRandomizationTime : 4
ServiceHealthReportInterval : 60
SevereThreatDefaultAction : 0
SharedSignaturesPath :
SharedSignaturesPathUpdateAtScheduledTimeOnly : False
SignatureAuGracePeriod : 0
SignatureBlobFileSharesSources :
SignatureBlobUpdateInterval : 60
SignatureDefinitionUpdateFileSharesSources :
SignatureDisableUpdateOnStartupWithoutEngine : False
SignatureFallbackOrder : MicrosoftUpdateServer|MMPC
SignatureFirstAuGracePeriod : 120
SignatureScheduleDay : 8
SignatureScheduleTime : 01:45:00
SignatureUpdateCatchupInterval : 1
SignatureUpdateInterval : 0
SubmitSamplesConsent : 1
ThreatIDDefaultAction_Actions :
ThreatIDDefaultAction_Ids :
ThrottleForScheduledScanOnly : True
TrustLabelProtectionStatus : 0
UILockdown : False
UnknownThreatDefaultAction : 0
PSComputerName :
CimClass : root/Microsoft/Windows/Defender:MSFT_MpPreference
CimInstanceProperties : {AllowDatagramProcessingOnWinServer, AllowNetworkProtectionDown
Level, AllowNetworkProtectionOnWinServer, AllowSwitchToAsyncIns
pection...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
| 英文属性名称 | 中文属性名称 | 英文值 | 中文值 |
|---|---|---|---|
| BruteForceProtectionConfiguredState | 暴力破解保护配置状态 | 0 | 0 |
| BruteForceProtectionExclusions | 暴力破解保护排除项 | ||
| BruteForceProtectionLocalNetworkBlocking | 暴力破解保护本地网络阻止 | False | 假 |
| BruteForceProtectionMaxBlockTime | 暴力破解保护最大阻止时间 | 0 | 0 |
| BruteForceProtectionSkipLearningPeriod | 暴力破解保护跳过学习期 | False | 假 |
| CheckForSignaturesBeforeRunningScan | 扫描前检查签名 | False | 假 |
| CloudBlockLevel | 云阻止级别 | 0 | 0 |
| CloudExtendedTimeout | 云扩展超时 | 0 | 0 |
| ComputerID | 计算机 ID | 计算机 ID | |
| ControlledFolderAccessAllowedApplications | 受控文件夹访问允许的应用程序 | ||
| ControlledFolderAccessDefaultProtectedFolders | 受控文件夹访问默认保护文件夹 | {N/A: 受控文件夹访问已禁用} | {N/A: 受控文件夹访问已禁用} |
| ControlledFolderAccessProtectedFolders | 受控文件夹访问受保护文件夹 | ||
| DefinitionUpdatesChannel | 定义更新通道 | 0 | 0 |
| DisableArchiveScanning | 禁用归档扫描 | False | 假 |
| DisableAutoExclusions | 禁用自动排除 | False | 假 |
| DisableBehaviorMonitoring | 禁用行为监控 | False | 假 |
| DisableBlockAtFirstSeen | 禁用首次看到时阻止 | False | 假 |
| DisableCacheMaintenance | 禁用缓存维护 | False | 假 |
| DisableCatchupFullScan | 禁用补充完整扫描 | True | 真 |
| DisableCatchupQuickScan | 禁用补充快速扫描 | True | 真 |
| DisableCoreServiceECSIntegration | 禁用核心服务 ECS 集成 | False | 假 |
| DisableCoreServiceTelemetry | 禁用核心服务遥测 | False | 假 |
| DisableCpuThrottleOnIdleScans | 禁用空闲扫描时的 CPU 限制 | True | 真 |
| DisableDatagramProcessing | 禁用数据报处理 | False | 假 |
| DisableDnsOverTcpParsing | 禁用 TCP 解析 DNS | False | 假 |
| DisableDnsParsing | 禁用 DNS 解析 | False | 假 |
| DisableEmailScanning | 禁用电子邮件扫描 | True | 真 |
| DisableFtpParsing | 禁用 FTP 解析 | False | 假 |
| DisableGradualRelease | 禁用渐进发布 | False | 假 |
| DisableHttpParsing | 禁用 HTTP 解析 | False | 假 |
| DisableInboundConnectionFiltering | 禁用入站连接过滤 | False | 假 |
| DisableIOAVProtection | 禁用 IOAV 保护 | False | 假 |
| DisableNetworkProtectionPerfTelemetry | 禁用网络保护性能遥测 | False | 假 |
| DisablePrivacyMode | 禁用隐私模式 | False | 假 |
| DisableQuicParsing | 禁用 QUIC 解析 | True | 真 |
| DisableRdpParsing | 禁用 RDP 解析 | False | 假 |
| DisableRealtimeMonitoring | 禁用实时监控 | False | 假 |
| 英文属性名称 | 中文属性名称 | 英文值 | 中文值 |
|---|---|---|---|
| AllowDatagramProcessingOnWinServer | 允许在 Windows 服务器上处理数据报 | False | 假 |
| AllowNetworkProtectionDownLevel | 允许低版本网络保护 | False | 假 |
| AllowNetworkProtectionOnWinServer | 允许在 Windows 服务器上启用网络保护 | False | 假 |
| AllowSwitchToAsyncInspection | 允许切换到异步检查 | True | 真 |
| ApplyDisableNetworkScanningToIOAV | 将禁用网络扫描应用于 IOAV | False | 假 |
| AttackSurfaceReductionOnlyExclusions | 攻击面减少仅排除项 | ||
| AttackSurfaceReductionRules_Actions | 攻击面减少规则_操作 | ||
| AttackSurfaceReductionRules_Ids | 攻击面减少规则_ID | ||
| AttackSurfaceReductionRules_RuleSpecificExclusions | 攻击面减少规则_特定排除项 | ||
| AttackSurfaceReductionRules_RuleSpecificExclusions_Id | 攻击面减少规则_特定排除项_ID | ||
| BruteForceProtectionAggressiveness | 暴力破解保护攻击性 | 0 | 0 |
| DisableRemovableDriveScanning | 禁用可移动驱动器扫描 | True | 真 |
| DisableRestorePoint | 禁用还原点 | True | 真 |
| DisableScanningMappedNetworkDrivesForFullScan | 禁用对映射网络驱动器的完整扫描 | True | 真 |
| DisableScanningNetworkFiles | 禁用网络文件扫描 | False | 假 |
| DisableScriptScanning | 禁用脚本扫描 | False | 假 |
| DisableSmtpParsing | 禁用 SMTP 解析 | False | 假 |
| DisableSshParsing | 禁用 SSH 解析 | False | 假 |
| DisableTamperProtection | 禁用篡改保护 | True | 真 |
| DisableTlsParsing | 禁用 TLS 解析 | False | 假 |
| EnableControlledFolderAccess | 启用受控文件夹访问 | 0 | 0 |
| EnableConvertWarnToBlock | 启用将警告转换为阻止 | False | 假 |
| EnableDnsSinkhole | 启用 DNS 漏斗 | True | 真 |
| EnableFileHashComputation | 启用文件哈希计算 | False | 假 |
| EnableFullScanOnBatteryPower | 启用在电池电量下进行完整扫描 | False | 假 |
| EnableLowCpuPriority | 启用低 CPU 优先级 | False | 假 |
| EnableNetworkProtection | 启用网络保护 | 0 | 0 |
| EnableUdpReceiveOffload | 启用 UDP 接收卸载 | False | 假 |
| EnableUdpSegmentationOffload | 启用 UDP 分段卸载 | False | 假 |
| EngineUpdatesChannel | 引擎更新通道 | 0 | 0 |
| ExclusionExtension | 排除扩展 | ||
| ExclusionIpAddress | 排除 IP 地址 | ||
| ExclusionPath | 排除路径 | ||
| ExclusionProcess | 排除进程 | ||
| ForceUseProxyOnly | 强制仅使用代理 | False | 假 |
| HideExclusionsFromLocalUsers | 从本地用户隐藏排除项 | True | 真 |
| HighThreatDefaultAction | 高威胁默认操作 | 0 | 0 |
| IntelTDTEnabled | 启用 Intel TDT | ||
| LowThreatDefaultAction | 低威胁默认操作 | 0 | 0 |
| MAPSReporting | MAPS 报告 | 2 | 2 |
| MeteredConnectionUpdates | 计量连接更新 | False | 假 |
| ModerateThreatDefaultAction | 中等威胁默认操作 | 0 | 0 |
| NetworkProtectionReputationMode | 网络保护声誉模式 | 0 | 0 |
| OobeEnableRtpAndSigUpdate | 启用 RTP 和签名更新 | False | 假 |
| PerformanceModeStatus | 性能模式状态 | 1 | 1 |
| PlatformUpdatesChannel | 平台更新通道 | 0 | 0 |
| ProxyBypass | 代理绕过 | ||
| ProxyPacUrl | 代理 PAC URL |
| 英文属性名称 | 中文属性名称 | 英文值 | 中文值 |
|---|---|---|---|
| ProxyServer | 代理服务器 | ||
| PUAProtection | PUA 保护 | 0 | 0 |
| QuarantinePurgeItemsAfterDelay | 隔离项延迟清除时间 | 90 | 90 |
| QuickScanIncludeExclusions | 快速扫描包含排除项 | 0 | 0 |
| RandomizeScheduleTaskTimes | 随机化计划任务时间 | True | 真 |
| RealTimeScanDirection | 实时扫描方向 | 0 | 0 |
| RemediationScheduleDay | 修复计划日 | 0 | 0 |
| RemediationScheduleTime | 修复计划时间 | 02:00:00 | 02:00:00 |
| RemoteEncryptionProtectionAggressiveness | 远程加密保护攻击性 | 0 | 0 |
| RemoteEncryptionProtectionConfiguredState | 远程加密保护配置状态 | 0 | 0 |
| RemoteEncryptionProtectionExclusions | 远程加密保护排除项 | ||
| RemoteEncryptionProtectionMaxBlockTime | 远程加密保护最大阻止时间 | 0 | 0 |
| RemoveScanningThreadPoolCap | 移除扫描线程池限制 | False | 假 |
| ReportDynamicSignatureDroppedEvent | 报告动态签名丢失事件 | False | 假 |
| ReportingAdditionalActionTimeOut | 报告附加操作超时 | 10080 | 10080 |
| ReportingCriticalFailureTimeOut | 报告关键失败超时 | 10080 | 10080 |
| ReportingNonCriticalTimeOut | 报告非关键超时 | 1440 | 1440 |
| ScanAvgCPULoadFactor | 扫描平均 CPU 负载因子 | 50 | 50 |
| ScanOnlyIfIdleEnabled | 仅在空闲时扫描 | True | 真 |
| ScanParameters | 扫描参数 | 1 | 1 |
| ScanPurgeItemsAfterDelay | 扫描项延迟清除时间 | 15 | 15 |
| ScanScheduleDay | 扫描计划日 | 0 | 0 |
| ScanScheduleOffset | 扫描计划偏移 | 120 | 120 |
| ScanScheduleQuickScanTime | 扫描计划快速扫描时间 | 00:00:00 | 00:00:00 |
| ScanScheduleTime | 扫描计划时间 | 02:00:00 | 02:00:00 |
| SchedulerRandomizationTime | 调度程序随机化时间 | 4 | 4 |
| ServiceHealthReportInterval | 服务健康报告间隔 | 60 | 60 |
| SevereThreatDefaultAction | 严重威胁默认操作 | 0 | 0 |
| SharedSignaturesPath | 共享签名路径 | ||
| SharedSignaturesPathUpdateAtScheduledTimeOnly | 仅在计划时间更新共享签名路径 | False | 假 |
| SignatureAuGracePeriod | 签名 AU 宽限期 | 0 | 0 |
| SignatureBlobFileSharesSources | 签名 Blob 文件共享源 | ||
| SignatureBlobUpdateInterval | 签名 Blob 更新间隔 | 60 | 60 |
| SignatureDefinitionUpdateFileSharesSources | 签名定义更新文件共享源 | ||
| SignatureDisableUpdateOnStartupWithoutEngine | 启动时在没有引擎的情况下禁用更新 | False | 假 |
| SignatureFallbackOrder | 签名回退顺序 | MicrosoftUpdateServer | MMPC |
| SignatureFirstAuGracePeriod | 签名首次 AU 宽限期 | 120 | 120 |
| SignatureScheduleDay | 签名计划日 | 8 | 8 |
| SignatureScheduleTime | 签名计划时间 | 01:45:00 | 01:45:00 |
| SignatureUpdateCatchupInterval | 签名更新补充间隔 | 1 | 1 |
| SignatureUpdateInterval | 签名更新间隔 | 0 | 0 |
| SubmitSamplesConsent | 提交样本同意 | 1 | 1 |
| ThreatIDDefaultAction_Actions | 威胁 ID 默认操作_操作 | ||
| ThreatIDDefaultAction_Ids | 威胁 ID 默认操作_ID | ||
| ThrottleForScheduledScanOnly | 仅在计划扫描时限制 | True | 真 |
| TrustLabelProtectionStatus | 信任标签保护状态 | 0 | 0 |
| UILockdown | 用户界面锁定 | False | 假 |
| UnknownThreatDefaultAction | 未知威胁默认操作 | 0 | 0 |
| 英文属性名称 | 中文属性名称 | 英文值 | 中文值 |
|---|---|---|---|
| PSComputerName | 计算机名称 | ||
| CimClass | CIM 类 | root/Microsoft/Windows/Defender:MSFT_MpPreference | root/Microsoft/Windows/Defender:MSFT_MpPreference |
| CimInstanceProperties | CIM 实例属性 | {AllowDatagramProcessingOnWinServer, AllowNetworkProtectionDownLevel, AllowNetworkProtectionOnWinServer, AllowSwitchToAsyncInspection...} | {允许在 Windows 服务器上处理数据报, 允许低版本网络保护, 允许在 Windows 服务器上启用网络保护, 允许切换到异步检查...} |
| CimSystemProperties | CIM 系统属性 | Microsoft.Management.Infrastructure.CimSystemProperties | Microsoft.Management.Infrastructure.CimSystemProperties |
PowerShell中查询和管理Windows Defender的行为监控设置(Behavior Monitoring),可以通过以下方式进行。
查询当前行为监控设置
Get-MpPreference | Select-Object -ExpandProperty BehaviorMonitorForceOff这条命令会显示当前行为监控设置的状态。如果返回值是 True,则表示行为监控已强制关闭;如果是 False,则表示行为监控没有被强制关闭。
修改行为监控设置
如果需要修改行为监控设置,可以使用以下命令:
强制关闭行为监控
Set-MpPreference -BehaviorMonitorForceOff $true这将强制关闭行为监控。
取消强制关闭行为监控
Set-MpPreference -BehaviorMonitorForceOff $false这将取消强制关闭,允许行为监控启用。
请注意,修改Windows Defender设置可能需要管理员权限。确保以管理员身份运行PowerShell以执行这些命令。
通过这些命令,你可以方便地查询和管理Windows Defender的行为监控设置,以符合你的安全需求和策略。
浙公网安备 33010602011771号