我认为 Windows 10 中包含的 Windows Defender 实现了除基于签名的威胁检测之外的某些形式的保护。两个组策略设置表明了这一点:“开启行为监控“ 和 ”监视计算机上的文件和程序活动“。
由于我非常不喜欢基于签名的检测(而是采用非常严格的威胁缓解策略),因此我最好在 Windows 10 系统中禁用实时文件扫描,但不要完全关闭实时保护。可以做到吗?
有一个名为“关闭实时保护“,但从它的名字来看,恐怕它会禁用其他组件。还有”扫描所有下载的文件和附件“,我尝试将其设置为已禁用,但似乎不起作用(浏览文件和插入外部驱动器仍然会触发文件扫描)。
谢谢。
答案1
我自己找到了答案(更多细节这里)。基本上,它就像设置组策略一样简单,Monitor file and program activity on your computer称为已禁用。
对于没有管理控制台DisableOnAccessProtection,必须在下创建一个名为的 DWORD 条目HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection,并将其设置为1。
此注册表项的名称准确地告诉您“监视文件和程序活动”实际上的作用:它“在访问时”扫描文件(例如,当 Windows 资源管理器列出目录内容时)。仅此而已。