您可以使用组策略。

打开gpedit.msc

导航Computer Configuration > Administrative Templates > Windows Components > Windows Defender

Turn off Windows Defender= 已启用

如果您尝试打开 Windows Defender，您会看到以下内容：

尽管在“设置”中它似乎已打开，但服务并未运行：

更多信息：

http://aaron-hoffman.blogspot.com/2015/08/install-and-setup-windows-10-for.html

和http://www.download3k.com/articles/How-to-Turn-Off-Windows-Defender-Permanently-in-Windows-10-01350

我找到了使用注册表的另一种方法。

使用本文，我在以管理员身份登录时在注册表中更改了 Defender 服务和驱动程序的启动类型（！！）。以下是简要说明：

1. 浏览注册表以HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。
2. 查找以“wd”开头且描述值中包含“Windows Defender”的服务。可能不完整的列表是：wdboot、wdfilter、wdnisdrv、wdnissvc、windefend。
3. Start将每个服务的值更改为0x4（十六进制 4，十进制 4）。
4. 重启。

这将有助于理解为什么您无法停止某项特定服务。

• 我是管理员；比失败更糟糕管理员不能管理吗？！

这是因为维德服务。

笔记：WinDefend是实际名称“Windows Defender 防病毒服务”

查看权限

如果从命令行运行：

>sc sdshow WinDefend

在哪里

• sdshow方法“显示服务的安全描述符。”

您将获得安全描述符：

C:\Users\Ian>sc sdshow WinDefend

D:(A;;CCLCSWRPLOCRRC;;;BU)(A;;CCLCSWRPLOCRRC;;;SY)(A;;CCLCSWRPLOCRRC;;;BA)(A;;CCLCSWRPLOCRRC;;;IU)(A;;CCLCSWRPLOCRRC;;;SU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736)

这是相当丑陋的 blob，而且 Microsoft 完全没有记录它，但我们会尝试解码它。首先通过自动换行：

D:
   (A;;CCLCSWRPLOCRRC;;;BU)
   (A;;CCLCSWRPLOCRRC;;;SY)
   (A;;CCLCSWRPLOCRRC;;;BA)
   (A;;CCLCSWRPLOCRRC;;;IU)
   (A;;CCLCSWRPLOCRRC;;;SU)
   (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)
   (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736)

这意味着D:这是一个自主访问控制列表。访问控制列表由许多访问控制条目 (ACE) 组成：

• D: 自主访问控制列表
  • ACE1：A;;CCLCSWRPLOCRRC;;;BU
  • 血管紧张素转换酶2（ACE2）：A;;CCLCSWRPLOCRRC;;;SY
  • ACE3：A;;CCLCSWRPLOCRRC;;;BA
  • ACE4：A;;CCLCSWRPLOCRRC;;;IU
  • ACE5：A;;CCLCSWRPLOCRRC;;;SU
  • ACE6：A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464
  • ACE7：A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736

每个 ACE 都是一组 5 个以分号结尾的设置，后跟WHO它适用于。

首先看他们向谁申请，一篇随机博客文章解码了其中的一些 （存档.is）：

• BU：内置用户
• SY：本地系统
• BA：内置管理员
• UI：交互式登录的用户
• SU：服务登录用户
• S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464：受信任的安装程序
• S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736：虚拟 NT 服务帐户NT SERVICE\WinDefend

您可以通过运行以下命令获取与 SID 关联的名称：

>wmic useraccount where sid='S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736' get name

每个 ACE 都包含允许或拒绝用户的权限列表。

• D: 自主访问控制列表
  • 王牌 1： A;;CCLCSWRPLOCRRC;;; 内置用户
  • 王牌2： A;;CCLCSWRPLOCRRC;;;本地系统
  • 王牌 3： A;;CCLCSWRPLOCRRC;;; 内置管理员
  • 王牌 4： A;;CCLCSWRPLOCRRC;;; 交互式用户
  • 王牌 5： A;;CCLCSWRPLOCRRC;;; 服务登录用户
  • 王牌 6： A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;; 值得信赖的安装程序
  • 王牌 7： A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;; NT 服务\WinDefend

分解 ACE 中剩余的分号分隔部分：

• 高手：A;;CCLCSWRPLOCRRC;;;
  • AceType：AACCESS_ALLOWED_ACE_TYPE
  • AceFlags：（没有任何）
  • 访问掩码：CC LC SW RP LO CR RC
    • CC：创建子项
    • LC：列表_儿童
    • SW：自我写入
    • RP：读取属性
    • LO：列表对象
    • CR：控制访问
    • RC：读取控制
  • 对象指南： （没有任何）
  • 继承ObjectGuid： （没有任何）

主导A手段允许，权限是两个字母的代码：

• D: 自主访问控制列表
  • 王牌 1：允许、、CC LC SW RP LO CR RC内置用户
  • 王牌 2：允许，，CC LC SW RP LO CR RC本地系统
  • 王牌 3：允许、、CC LC SW RP LO CR RC内置管理员
  • 王牌4：允许，，CC LC SW RP LO CR RC交互式用户
  • 王牌 5：允许，，CC LC SW RP LO CR RC服务登录用户
  • 王牌 6：允许，，CC LC SW RP LO CR RC DC WP DT SD WD WO受信任的安装程序
  • 王牌 7：允许，，CC LC SW RP LO CR RC DC WP DT SD WD WONT SERVICE\WinDefend

我必须在这里停下来保存我的工作。关于如何停止 Windows Defender 服务的这个绕行过程很有趣：但我已经停止了它，而我的 PC 仍然运行不正常。

剧透：

sc sdset WinDefend [newSDLString]

额外阅读

• 如何使用 SDDL 指定 Windows 中的服务权限？ （存档.is）
• 如何将 SID 转换为用户名以及反之 （存档.is）
• 安全描述符定义爱的语言（第二部分） （存档.is）
• Microsoft 安全描述符语言 -2.5.1.1 语法 （存档.is）
• 旧新事物：安全描述符定义语言 (SDDL) 各个版本的简要概述 ^档案

要完全禁用 Windows Defender（而不仅仅是实时保护），您可以：

1. 安装另一个安全套件（如 Ramhound 所述）。
2. 如果您愿意使用第三方应用程序，您可以使用NoDefender：http://msft.gq/pub/apps/NoDefender.zip

有关 NoDefender 的更多信息，请访问：http://winaero.com/blog/nodefender-disable-windows-defender-in-windows-10-with-few-clicks/