Windows Defender Group Policy and Infected LOGS Inspection

Windows Defender Version Check Powershell:

PS:

Get-MpComputerStatus
#AMProductVersion : 4.18.2211.5

Windows Defender Loglarını detaylı şekilde inceleyelim:

Windows Defender'ın bir günlük dosyası var mı?

Evet var, Windows Defender'ın birden çok günlük dosyası vardır. Bilgisayarınızda her tarama yaptığınızda bir günlük oluşturur. Hızlı tarama, Tam tarama, Özel tarama veya Microsoft Defender Çevrimdışı taraması olsun, Windows Defender her seferinde bir günlük oluşturur. Günlük dosyalarını burada bulabilirsiniz: C:\ProgramData\Microsoft\Windows Defender\Support Ancak, günlük dosyalarını kullanıcı dostu bir şekilde okumak istiyorsanız, WinDefLogView'dan yararlanabilirsiniz.

WinDefLogView v1.00
Copyright (c) 2022 Nir Sofer
https://github.com/theguler0x/Tools/blob/main/win_defender_logviewer.zip (Github)
Web site: https://www.nirsoft.net/utils/windows_defender_log_Viewer.html

WinDefLogView, şu kaynaklardan gelen verileri algılayabilir:

• Bu sistem
• Harici Klasör
• Uzak bilgisayar
• Çoklu Uzak Bilgisayarlar
• Shadow Copy

Kendi bilgisayarınızı kullandığınız için Bu Sistem seçeneğini seçiniz ve Tamam butonuna tıklayınız.

Algılanan tüm tehditleri ekranınızda görüntüler. Tüm ayrıntıları bulmak için herhangi bir tehdide sağ tıklayıp Properties seçeneğini açabilirsiniz.

Windows Defender Group Policy

Windows Defender’in Group Policy

Yeni bir GPO oluşturup adını tanımlayalım. Aşağıdaki ayarları test ortamınızda deneyerek gerçek ortamlarınıza uygulamanızı tavsiye ederim.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender yolunda "Windows Defender GPO" ayarlarını bulabilirsiniz.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender > Turn off Windows Defender’ı Disabled yaparak Windows Defender’in son kullanıcılar tarafından kapatılmasını engelleyebilirsiniz.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender > Client Interface > Suppress all notifications seçeneğini enabled yaparak kullanıcılara bildirim gitmesini engelleyebilir veya disabled yaparak bildirimleri aktif edebilirsiniz.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender > Client Interface > Enable headless UI mode seçeneğini kullanarak detaylı ekranların görünmesi engelleyebilirsiniz.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender > Exclusions yolunu takip ederek belli process, uzantı, path vs. için istisnalar tanımlayabilirsiniz.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender > Quarantine > Configure removel of items form Quarantine folder seçeneğiyle karantinada kalacak dosyaların kaç gün sonra silineceğini seçebilirsiniz.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender > Scan> Allow users to pause scan yolunu takip ederek kullanıcıların taramaları durdurmalarını engelleyebilirsiniz.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender > Scan > Specify the day of the week to run a scheduled full scan to complete remediation seçeneğini kullanarak istemcilerde zamanlanmış görevler oluşturabilirsiniz.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender > MAPS > Send the file samples when further analysis is required yolunu takip ederek örneklerin gönderilip gönderilmeyeceğini düzenleyebilirsiniz.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender > Scan > Scan removable drives seçeneğiyle şayet full tarama başladıysa removable/çıkarılabilir driverlarında taranamasını sağlayabilirsiniz.

• vs.....

Saygılarımla – Best Regards...