我正在调查一张票据,上面说我们网络中的某些服务器上的病毒和威胁防护以及应用程序和浏览器控制现已被禁用。
他们希望我检查为什么会发生这种情况以及如何防止将来再次发生。我尝试检查事件日志/安全性中是否有事件 ID 1121,但不幸的是日志太短,仅包含过去 2 小时的事件,所以我什么也没找到。
我的问题是这两个控件如何停用 - 是否一定是某个管理员用户通过此控制面板禁用它们,或者有其他方法可以做到这一点?我可以很好地将其重新启用。没有 GPO 控制这一点。我被要求检查其他服务器是否存在同样的情况,所以我必须这样做。我发现这些命令可以显示它:
Get-MpPreference|select PUAProtection
Get-MpComputerStatus|select IsTamperProtected
我可能会制作一个 Ansible 剧本来用它们检查我们其余的服务器。
到目前为止,我只在 Windows Server 2022 上看到过它,所以可能与此版本有关……