根据文档:
如果您使用的是 Windows 10 OS 1709、1803 或 1809,则 Windows 安全应用中不会看到防篡改保护。在这种情况下,您可以使用 PowerShell 确定是否启用了防篡改保护。
但它没有说明如何使用 PowerShell 或 GPO 禁用它。事实上,微软表示他们不会添加 GPO 来禁用篡改保护。Intune 是这些版本的 Windows 10 上禁用篡改保护的唯一选项吗?
答案1
您可以转到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
注册表项,然后将TamperProtection
DWORD 值设置0
为关闭和5
打开。
答案2
不,您不需要 Intune 或 SCCM,但您需要另一个具有 TI 权限的应用程序,因此我们可以修改相关的操作系统内部结构:Nirsoft-AdvancedRun
1 个主要缺点是在几次重启期间您将暂时没有保护,但这是我发现唯一有效的方法。
在 CMD - 管理员中运行此命令:
sc.exe qc windefend | findstr BINARY_PATH_NAME
将输出保存在 txt 文件中,以便我们稍后可以恢复该路径。
%windir%\script-ps
内容:
Set-MpPreference -DisableRealtimeMonitoring $true
Get-Service WinDefend | Set-Service -StartupType Disabled
Get-Service Sense | Set-Service -StartupType Disabled
Get-Service mpssvc | Set-Service -StartupType Disabled
Get-Service WdNisSvc | Set-Service -StartupType Disabled
sc.exe config WinDefend binPath=%windir%\bfsvc.exe
TamperProtection.cfg
内容:
[General]
EXEFilename=
CommandLine=(gc script-ps) | iex
StartDirectory=%windir%
WaitProcess=0
PriorityClass=32
WindowState=0
UseWindowPosition=0
WindowPosition=20,20
UseWindowSize=0
WindowSize=640,400
RunAs=8
RunAsProcessName=
EnvironmentVariablesMode=1
OSCompatMode=0
UseSearchPath=0
ParseVarCommandLine=1
UseAffinityMask=0
AffinityMask=0 1
Compat640480=0
CompatDisableVisualThemes=0
CompatDisableDesktopComp=0
CompatDisableFullScreenOpt=0
CompatHighDPI=0
CompatColors=0
RunAsUserName=
RunAsDomain=
RunFromService=0
ComputerName=
RunMode=4
ShellExecuteAction=
CommandWindowMode=2
[EnvironmentVariables]
Lines=0
WinPos=2C 00 00 00 00 00 00 00 01 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 65 00 00 00 18 00 00 00 9A 03 00 00 A0 02 00 00
现在在 CMD - 管理员中运行此命令:
AdvancedRun.exe /Run TamperProtection.cfg
隐藏的 PS 窗口以 TI 权限运行并执行命令(不是脚本,因此无需绕过 PS 限制)%windir%\script-ps
。运行后重新启动,现在:
%windir%\script-ps
内容:
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v TamperProtection /t REG_DWORD /d 4 /f
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v TamperProtectionSource /t REG_DWORD /d 2 /f
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v SenseDevMode /t REG_DWORD /d 0 /f
现在在 CMD - 管理员中运行此命令:
AdvancedRun.exe /Run TamperProtection.cfg
运行后重新启动,现在:
%windir%\script-ps
内容:
sc.exe config WinDefend binPath=<original BINARY_PATH_NAME>
Get-Service WinDefend | Set-Service -StartupType Automatic
Set-MpPreference -EnableRealtimeMonitoring $true
Get-Service Sense | Set-Service -StartupType Automatic
Get-Service mpssvc | Set-Service -StartupType Automatic
Get-Service WdNisSvc | Set-Service -StartupType Automatic
现在在 CMD - 管理员中运行此命令:
AdvancedRun.exe /Run TamperProtection.cfg
运行后重新启动,现在 TamperProtection 已被禁用,并且 WinDefend 正在运行。
笔记:要重新启用,请将 TamperProtection 设置为 5 并重新启动。请参阅此其他答案以启用:
已在 Win11 Enterprise 22H2 默认安装中验证
虽然这种方法目前有效,但如果 M$ 修补这个“答案”,将来可能就不再有效。