问题标签 [windows-defender]

我使用Set-ExecutionPolicy RemoteSigned并下载了一些脚本和模块。这些是我的脚本，所以它们没有签名。我可以使用BypassorRemoteSigned或Unrestricted. 我觉得这Unrestricted有点过头了，所以我接受了RemoteSigned，事实上，即使我的脚本没有签名，我也可以下载它们并运行它们......一段时间。然后，“Windows Defender”赶上并完全删除了我的脚本。我的问题是：

• 下载脚本后，是否有PowerShell 以编程方式指示 Windows Defender 在排除列表中标记该脚本？

• 你会说这Unrestricted有点不安全吗？如果是这样，使这些脚本签名（或自签名？）的过程是什么，或者这不可能？即设置为Unrestricted使文件不被核弹，然后下载文件，然后以某种方式将其放在排除列表中，然后将 ExecutionPolicy 设置回RemoteSigned？

有一个恶意域/URL 的外部列表，我想定期搜索日志，但有一个明显的问题：

On 子句不会起作用，因为这两个项目永远不会完全匹配。当 $left.sentinel_domain 是 $rightRemoteUrl 的子字符串时，如何获得匹配？

这可能是特定于 Windows Defender 的，也可能更普遍地适用于 Windows 上的更多 AV 产品。

它绝对特定于“编译”应用程序开发，因此我在这里问，对此应该有一个非常清晰的技术解释。

Windows 上的防病毒软件将扳手置于 esp 的作品中似乎是“显而易见的”（1 2 ）。C++ 编译——对我来说不太明显的是需要从实时扫描中排除的内容。

您从Web上的不同 资源 中得知，您应该排除您的项目文件夹和您的, , ... what-have-you。devenv.execl.exenode.exe

但是，这些说明对我来说似乎有点矛盾，至少就目录排除与进程排除而言：

问：如果我告诉我的 AV not scan stuff used by process devenv.exe|cl.exe|...，那么为什么我还需要排除我的C:\mystuff\cpp-project\**项目文件夹？

问：一个 AV 产品的进程排除，greps 所有相关的开发工具是否应该足以加快构建时间？

问：为什么需要额外的不扫描目录排除项？他们有必要吗？

免责声明：我会在我的开发机器上完全排除“世界”并完成它。然而，这并不适合 IT 和安全团队。他们想要控制排除项，并且他们 - 在某种程度上是合理的 - 不愿意全面排除非管理员用户具有写入权限的任何文件夹，例如项目文件夹或用户的 TEMP 文件夹。

Microsoft 在我的计算机上安装了多个版本的 Defender 可执行文件 (MpCmdRun.exe)。在“C:\Program Files\Windows Defender\MpCmdRun.exe”中有一个明显的，但在“C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2010.7-0\MpCmdRun.exe”和“ C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\MpCmdRun.exe”。 这些文件夹都有不同版本的 MpCmdRun.exe。

根据Microsoft，最新版本是 4.18.2011.6-0 版本，但如果我没有研究过，我怎么会知道呢？如果我对这个位置的一些依赖进行编码（见下文），我怎么知道它何时被取代？

我的目标是为 Defender 创建一个运行完整扫描而不是快速扫描的自定义计划任务。我尝试修改现有的 Windows Defender 任务定义（在任务计划程序 -> 任务计划程序库 -> Microsoft -> Windows -> Windows Defender 中），但这些任务会定期修改自身（在更新等之后）并且我的更改丢失了。我可以轻松地创建自己的自定义任务，但我必须知道 MpCmdRun.exe 的位置，正如我在上面指出的，它似乎在移动。

有谁知道确定最新 Defender 可执行文件位置的可靠方法，最好在命令行中易于使用？

另外，有人知道微软为什么这样做吗？为什么不将最新版本保留在“C:\Program Files\Windows Defender”中？为什么要留下旧版本？

下面的代码给出了错误：发生了识别错误

有什么建议我可以在 DeviceName 列的 DeviceAlertEvents 中搜索列表 vippc 中的项目吗？

我正在使用以下脚本远程检索 Windows Defender 状态。

但是，我对 PowerShell 脚本和相关协议还很陌生。当我可能必须在数百台计算机上运行它时，这是检索此信息的最佳方式吗？

我有带有 Windows Defender 的 Azure 存储。当文件/组件上传带有恶意软件时，我们会在 Azure 安全中心收到警报。我使用 Azure REST API 自动读取和处理该恶意软件。我们有一个自定义的工作流程来处理它们。在处理结束时，我们希望删除警报，以便将来我们不会收到它们。

我使用按资源组列出来列出警报。我正在使用 Update Resource Group Level Alert State To Dismiss来更改警报的状态。

为了调用 API 来更新警报的状态，我正在形成 POST URL，如下所示。如图所示，我从 List REST 调用中提取了突出显示的部分。

然后我在此之前和之后添加以下内容。

https://management.azure.com <上面的id值> /dismiss?api-version=2020-01-01

HttpClient.PostAsync然后，我使用 .Net Core 3.1 应用程序（使用from命名空间）向该 URL 发出 POST 请求system.net.http。我收到的是 400 HTTP 状态代码，正文中带有“UnsupportedResourceOperation”作为错误代码。完整的响应正文如下所示：

错误消息似乎具有误导性。我找到了这个答案Dismiss Security Center Alert using Graph API，这暗示了我正在遵循的相同方法。我不确定我做错了什么。我的 AD 租户应用具有订阅参与者角色。

任何帮助将不胜感激。

我支持基于 MFC 的 32 位应用程序。为了部署到客户，MSI 安装程序文件是通过 Visual Studio 2015 创建的。我有一些客户报告说由于 Microsoft Defender 报告严重警告而无法安装应用程序：

漏洞利用：O97M/CVE-2017-11882.JR!MTB

在我这边，Norton Internet Security 显示所有文件都是干净的。MalwareBytes 还显示所有文件都是干净的。如何防止此警告出现在我的客户端？

尝试加载 PowerShell 模块（我自己的，个人编写的）一段时间时，我遇到了以下错误。我过去可以通过添加 Windows Defender 排除项来完全摆脱它，但现在它已经修复了几个星期（但根本没有更改模块代码）。

无论文件夹和文件被添加到排除列表中，PowerShell 5.1 和 7.1.2 都给我一个固定的错误，并且无法导入我的（完全安全，个人编写！）模块。

请帮助解决这个问题，因为尝试处理 Microsoft 失控和激进的误报标记甚至完全忽略其自己的排除列表变得越来越令人沮丧？

注意：添加到 Windows Defender 排除列表在这里完全失败，即使脚本在排除列表中也会发生错误。

我有另一个与脚本或语法无关的问题，它是 Windows Defender 的问题我编写了一个非常非常基本的程序。这个

但我不知道为什么我的 Windows Defender 在其中检测到病毒？它只是一个加载栏，仅此而已...