Windows Defender：禁用实时扫描；保持计划和按需扫描

Question 1

这 ”关闭实时保护“组策略设置，位于计算机配置\管理模板\Windows 组件\Windows Defender应该做你想做的事。

但是，在我的系统中，启用此策略后，反恶意软件服务可执行文件会每隔 10 秒左右不断生成（并立即关闭）。非常烦人，但与反复扫描驱动器上的所有文件导致的更普遍的系统速度减慢相比，这算不了什么。

请留意我的这个相关问题：如何在不关闭 Windows Defender 中的其他保护的情况下禁用基于签名的检测。可能会出现一些有趣的事情。

[更新] 使用上述方法会导致日志文件不断增长，位于C:\ProgramData\Microsoft\Windows Defender\Support，名为MPLog-<datetime>.log。
有一种方法可以防止这种情况发生。只需将以下策略设置为已禁用，而不是我首先提到的策略，即保持不变：

监视计算机上的文件和程序活动
扫描所有下载的文件和附件
开启行为监控
开启网络保护以防止利用已知漏洞*
开启原始卷写入通知*
开启信息保护控制 *

不过，我建议不要禁用最后 3 项（标有 *）。它们对性能的影响也最小。

这些策略设置可以在与第一个策略设置相同的位置找到：Computer Configuration\Administrative Templates\Windows Components\Windows Defender。
笔记：某些版本的 Windows 使用术语“Endpoint Protection”而不是“Windows Defender”。

如果你的 Windows 版本没有附带组策略编辑器，设置一些注册表项即可解决问题。它们都位于HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection（如果不存在则创建此键）。创建以下 DWORD（32 位）条目并将其设置为 1：

禁用访问保护
禁用IOAV保护
禁用行为监控
禁用入侵防御系统 *
禁用RawWriteNotification *
禁用信息保护控制 *

我再次建议不要禁用最后 3 个项目。将它们保留为 0，或者更好的是，不要为它们创建条目。

进行这些更改后需要重新启动系统。

出于完整性考虑，“关闭实时保护”策略的注册表项被称为DisableRealtimeMonitoring。

[更新 2]附录：Malwarebytes Anti-Exploit (MBAE) 通常不相容使用 Microsoft 增强缓解体验工具包 (EMET)。在受 EMET 保护的系统上安装时，它甚至会这样说。要亲自查看，请下载mbae 测试程序 从这里，将其添加到受 EMET 保护的应用程序列表中，然后尝试在启用 MBAE 的情况下加载它。
（但是，如果您仅使用 EMET 来执行系统范围的规则（即 DEP 和 SEHOP），那就没问题。只有在启动受这两种解决方案保护的应用程序时，您才会遇到麻烦。）

Answer

这 ”关闭实时保护“组策略设置，位于计算机配置\管理模板\Windows 组件\Windows Defender应该做你想做的事。

但是，在我的系统中，启用此策略后，反恶意软件服务可执行文件会每隔 10 秒左右不断生成（并立即关闭）。非常烦人，但与反复扫描驱动器上的所有文件导致的更普遍的系统速度减慢相比，这算不了什么。

请留意我的这个相关问题：如何在不关闭 Windows Defender 中的其他保护的情况下禁用基于签名的检测。可能会出现一些有趣的事情。

[更新] 使用上述方法会导致日志文件不断增长，位于C:\ProgramData\Microsoft\Windows Defender\Support，名为MPLog-<datetime>.log。
有一种方法可以防止这种情况发生。只需将以下策略设置为已禁用，而不是我首先提到的策略，即保持不变：

监视计算机上的文件和程序活动
扫描所有下载的文件和附件
开启行为监控
开启网络保护以防止利用已知漏洞*
开启原始卷写入通知*
开启信息保护控制 *

不过，我建议不要禁用最后 3 项（标有 *）。它们对性能的影响也最小。

这些策略设置可以在与第一个策略设置相同的位置找到：Computer Configuration\Administrative Templates\Windows Components\Windows Defender。
笔记：某些版本的 Windows 使用术语“Endpoint Protection”而不是“Windows Defender”。

如果你的 Windows 版本没有附带组策略编辑器，设置一些注册表项即可解决问题。它们都位于HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection（如果不存在则创建此键）。创建以下 DWORD（32 位）条目并将其设置为 1：

禁用访问保护
禁用IOAV保护
禁用行为监控
禁用入侵防御系统 *
禁用RawWriteNotification *
禁用信息保护控制 *

我再次建议不要禁用最后 3 个项目。将它们保留为 0，或者更好的是，不要为它们创建条目。

进行这些更改后需要重新启动系统。

出于完整性考虑，“关闭实时保护”策略的注册表项被称为DisableRealtimeMonitoring。

[更新 2]附录：Malwarebytes Anti-Exploit (MBAE) 通常不相容使用 Microsoft 增强缓解体验工具包 (EMET)。在受 EMET 保护的系统上安装时，它甚至会这样说。要亲自查看，请下载mbae 测试程序 从这里，将其添加到受 EMET 保护的应用程序列表中，然后尝试在启用 MBAE 的情况下加载它。
（但是，如果您仅使用 EMET 来执行系统范围的规则（即 DEP 和 SEHOP），那就没问题。只有在启动受这两种解决方案保护的应用程序时，您才会遇到麻烦。）

Question 2

从2019 年 5 月更新（版本 1903），Windows 10 引入了防篡改功能，这是一项新功能，旨在保护 Windows 安全应用免受未通过体验直接进行的未经授权的更改。

虽然这是一个受欢迎的附加功能，为 Windows 10 增加了一层额外的保护，但当您需要通过另一个应用程序或命令行工具（如 PowerShell 或命令提示符）管理安全设置时，它可能会导致一些问题。

这包括通过组策略进行更改！

更改防篡改设置

在任务栏上的搜索框中，输入 Windows 安全，然后在结果列表中选择 Windows 安全。在 Windows 安全中，选择病毒和威胁防护，然后在病毒和威胁防护设置下，选择管理设置。将防篡改设置更改为开或关。

然后启动组策略编辑器并禁用上述三项服务（虽然我认为扫描下载很有用并且不会影响性能）和一个名为启用实时保护时打开进程扫描. 从 CMD 运行 gpupdate /force，无需重新启动。

运行 Regedit 并检查这些行是否添加到 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]

“DisableBehaviorMonitoring”=dword：00000001 “DisableOnAccessProtection”=dword：00000001 “DisableScanOnRealtimeEnable”=dword：00000001 “DisableIOAVProtection”=dword：00000001

如果您无法访问 GPeditor，请创建一个包含以下内容的 .reg 脚本

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001

享受更快的系统。我还建议使用VThash 校验实用程序可进行更全面的扫描。

Answer