如何使用 GPO 永久禁用 Windows Defender 实时保护?

tag-icon tag-icon group-policy windows-defender
如何使用 GPO 永久禁用 Windows Defender 实时保护?

我喜欢通过 Windows 10 Pro 上的 GPO 禁用 Windows Defender 实时保护。当我配置 GPO 时,实时保护显示为关闭。然而,重新启动后,保护又神奇地启用了。

GPO 设置未更改。我正在尝试禁用实时保护,以便能够分析和逆向工程恶意软件。

此外,即使 Windows 告诉我实时保护由管理员管理,它仍然在后台启用。

我真的很想知道是否有办法完全禁用 Windows Defender + 实时保护,或者微软是否让这变得不可能。

答案1

在较新版本的 Windows 中,Microsoft Defender 的组策略设置已恢复。
为了防止这种情况发生,改变它们:

  1. 打开资源监视器(resmon.exe在搜索框中输入)
  2. 概述
  3. MsMpEng.exe在列表中查找
  4. 右击 >Suspend Process

在 Windows 10 1903 中,添加了篡改保护。
必须禁用篡改保护更改组策略设置,否则这些设置将被忽略。

  1. 打开 Windows 安全中心(Windows Security在搜索框中输入)
  2. 病毒和威胁防护 > 病毒和威胁防护设置 > 管理设置
  3. 切换Tamper ProtectionOff

要永久禁用实时保护:

  1. 打开本地组策略编辑器(gpedit.msc在搜索框中输入)
  2. 计算机配置 > 管理模板 > Windows 组件 > Microsoft Defender 防病毒 > 实时保护
  3. 使能够Turn off real-time protection
  4. 重启计算机

要永久禁用 Microsoft Defender:

  1. 打开本地组策略编辑器(gpedit.msc在搜索框中输入)
  2. 计算机配置>管理模板>Windows 组件>Microsoft Defender 防病毒
  3. 使能够Turn off Microsoft Defender Antivirus
  4. 重启计算机

答案2

  • 注册表编辑器
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  • 新建 > DWORDDisableAntiSpyware
  • 将其设置为1
  • 重启

如果不起作用则再执行一步:

  • 注册表编辑器
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection(如果不存在则创建该键)
  • 新建 > DWORD DisableBehaviorMonitoring;将其设置为1
  • 新建 > DWORD DisableOnAccessProtection;将其设置为1
  • 新建 > DWORD DisableScanOnRealtimeEnable;将其设置为1
  • 重启

您还可以保存以下代码disable_realtime_protection.reg并运行

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001

答案3

我今天之前尝试过这里的所有建议,并尝试过

目前唯一有效的是 2021 年 1 月的版本每次启动 Windows 10 时我都必须运行它。有时甚至在白天,Defender 也会自动启用。啊!所以我必须再次运行它。由于所有这些手工劳动,我设置了一个快捷键 Ctrl + Shift + Alt + F12 来运行禁用命令。按下该快捷键后,我仍然必须对“允许此程序进行更改”对话框回答“是”。

脚步

  1. 右键单击桌面,然后选择新建,然后选择快捷方式。将其保留在桌面上,以便 Windows 找到快捷方式。
  2. 在目标框中输入此代码。
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true
  1. 在快捷键框中按下您想要使用的任意键来运行此快捷方式。我使用了 Ctrl + Shift + Alt + F12。

在此处输入图片描述

  1. 按“高级”,然后启用“以管理员身份运行”。

在此处输入图片描述

  1. 按两次“确定”。您已完成。

您应该知道,Windows 会不断向您发送通知,让您打开病毒防护。这真是无休止的疯狂……为了从 MS 的邪恶实时防御者先生的魔爪中夺回 CPU 能力。忽略它就行了。

我希望微软能够看到这个问题并修复它,因为他们总是强制实时防御程序,这太烦人了。它让我的快速电脑变得很慢。

答案4

MS 不再支持 DisableAntiSpyware,他们使用许多技巧来保护 MsMpEng.exe 和相关注册表项。

如果您确实想要禁用 Windows Defender,请使用 WinPE 或 WRE 离线编辑注册表。

--------------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001
"DisableAntiVirus"=dword:00000001
--------------------------------------------------------------------------

这些项目受到在线保护,因此您无法修改它们,这就是使用 WinPE 或 WRE 的原因。

相关内容