Microsoft Defender, precedentemente conosciuto come Windows Defender, è l’antimalware che l’azienda di Redmond integra di default in Windows 10 e che viene disattivato nel caso in cui si decidesse di installare un prodotto di terze parti compatibile con le API Microsoft ma non adatto a funzionare sulla stessa macchina insieme con Defender.
Le abilità di riconoscimento e neutralizzazione di Windows Defender sono cresciute di molto negli ultimi anni con il software in grado di rilevare sempre più efficacemente le minacce zero-day e i programmi potenzialmente superflui spesso integrati nelle routine di installazione di tante applicazioni.
È sconsigliabile disattivare completamente Windows Defender, soprattutto se non si installassero soluzioni antimalware di terze parti.
Sui sistemi Windows 10 basati su hardware non propriamente recente il processo MsMpEng.exe
potrebbe però di frequente occupare il processore in modo incisivo (è facile verificarlo premendo CTRL+MAIUSC+ESC
per accedere al Task Manager, cliccare su Più dettagli, sulla scheda Dettagli quindi sull’intestazione CPU).
In questi casi si può richiedere una minore occupazione del processore: Windows Defender: cosa fare quando occupa troppa CPU.
Le scansioni richiederanno più tempo per essere completate ma il processore risulterà meno occupato.
Per gestire e programmare la scansione con Windows Defender via PowerShell è possibile seguire le indicazioni dell’articolo Windows Defender: come gestire la scansione del sistema con PowerShell.
Come usare Windows Defender dal prompt dei comandi
Windows Defender offre di norma una protezione in tempo reale ma digitando Sicurezza di Windows nella casella di ricerca e cliccando su Protezione da virus e minacce nella colonna di sinistra è possibile avviare una scansione manuale (Opzioni di analisi): analisi veloce (controllo delle cartelle in cui di solito si annida la maggior parte delle minacce); analisi completa (controllo dell’intero sistema, processi in esecuzione compresi); analisi personalizzata (esame di alcune cartelle specifiche indicate dall’utente); analisi di Microsoft Defender Offline (per riavviare il sistema in modalità scansione ed effettuarla al boot del PC).
Di quest’ultima possibilità avevamo parlato nell’articolo Windows Defender: cos’è e come funziona la scansione offline.
Per avviare una scansione del sistema con Windows Defender dal prompt dei comandi è necessario dapprima digitare cmd
nella casella di ricerca del sistema operativo quindi premere CTRL+MAIUSC+INVIO
.
Al prompt dei comandi si può digitare quanto segue per accedere alla cartella in cui Windows Defender è installato:
A questo punto si possono impartire i seguenti comandi:
mpcmdrun -scan -scantype 1
per avviare una scansione velocempcmdrun -scan -scantype 2
per eseguire una scansione completampcmdrun -scan -scantype 3 -file %userprofile%\Desktop
per avviare la scansione del contenuto della cartella indicata (in questo caso il Desktop di Windows)mpcmdrun -scan -scantype -bootsectorscan
per analizzare il contenuto dei file utilizzati per effettuare l’avvio di Windowsmpcmdrun -signatureupdate
per effettuare l’aggiornamento delle firme virali di Windows Defender
Controllare gli elementi in quarantena e richiederne l’eventuale ripristino
Digitando il comando mpcmdrun -restore -listall
si può verificare la lista dei file eventualmente in quarantena con l’indicazione della cartella in cui ogni elemento era originariamente memorizzato e la tipologia di minaccia rilevata.
Va detto che in alcuni casi, come qualunque altro antimalware, anche Windows Defender può presentare dei falsi positivi ossia classificare erroneamente come pericolosi elementi che non lo sono affatto. Ancora più spesso, poi, il tool di Microsoft “drizza le antenne” quando ha a che fare con alcune utilità per il sistema operativo sviluppate da terze parti oppure con certi script, anche PowerShell.
In questi casi, quando si fosse assolutamente sicuri della “bontà” dei file utilizzati, si possono ripristinare gli elementi dalla quarantena digitando quanto segue:
L’indicazione programma.exe va sostituita con il nome dell’elemento in quarantena che si vuole ripristinare. Senza -filepath C:\TEMP
esso sarà posto di nuovo nella cartella originale; diversamente verrà salvato nella directory specificata.