如何在 Windows 10 1709、1803 或 1809 上禁用防篡改保护?

如何在 Windows 10 1709、1803 或 1809 上禁用防篡改保护?

根据文档

如果您使用的是 Windows 10 OS 1709、1803 或 1809,则 Windows 安全应用中不会看到防篡改保护。在这种情况下,您可以使用 PowerShell 确定是否启用了防篡改保护。

但它没有说明如何使用 PowerShell 或 GPO 禁用它。事实上,微软表示他们不会添加 GPO 来禁用篡改保护。Intune 是这些版本的 Windows 10 上禁用篡改保护的唯一选项吗?

答案1

您可以转到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features注册表项,然后将TamperProtectionDWORD 值设置0为关闭和5打开。

答案2

不,您不需要 Intune 或 SCCM,但您需要另一个具有 TI 权限的应用程序,因此我们可以修改相关的操作系统内部结构:Nirsoft-AdvancedRun

1 个主要缺点是在几次重启期间您将暂时没有保护,但这是我发现唯一有效的方法。


在 CMD - 管理员中运行此命令:

sc.exe qc windefend | findstr BINARY_PATH_NAME

将输出保存在 txt 文件中,以便我们稍后可以恢复该路径。

%windir%\script-ps内容:

Set-MpPreference -DisableRealtimeMonitoring $true
Get-Service WinDefend | Set-Service -StartupType Disabled
Get-Service Sense | Set-Service -StartupType Disabled
Get-Service mpssvc | Set-Service -StartupType Disabled
Get-Service WdNisSvc | Set-Service -StartupType Disabled
sc.exe config WinDefend binPath=%windir%\bfsvc.exe

TamperProtection.cfg内容:

[General]
EXEFilename=
CommandLine=(gc script-ps) | iex
StartDirectory=%windir%
WaitProcess=0
PriorityClass=32
WindowState=0
UseWindowPosition=0
WindowPosition=20,20
UseWindowSize=0
WindowSize=640,400
RunAs=8
RunAsProcessName=
EnvironmentVariablesMode=1
OSCompatMode=0
UseSearchPath=0
ParseVarCommandLine=1
UseAffinityMask=0
AffinityMask=0 1
Compat640480=0
CompatDisableVisualThemes=0
CompatDisableDesktopComp=0
CompatDisableFullScreenOpt=0
CompatHighDPI=0
CompatColors=0
RunAsUserName=
RunAsDomain=
RunFromService=0
ComputerName=
RunMode=4
ShellExecuteAction=
CommandWindowMode=2
[EnvironmentVariables]
Lines=0
WinPos=2C 00 00 00 00 00 00 00 01 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 65 00 00 00 18 00 00 00 9A 03 00 00 A0 02 00 00

现在在 CMD - 管理员中运行此命令:

AdvancedRun.exe /Run TamperProtection.cfg

隐藏的 PS 窗口以 TI 权限运行并执行命令(不是脚本,因此无需绕过 PS 限制)%windir%\script-ps。运行后重新启动,现在:

%windir%\script-ps内容:

reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v TamperProtection /t REG_DWORD /d 4 /f
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v TamperProtectionSource /t REG_DWORD /d 2 /f
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v SenseDevMode /t REG_DWORD /d 0 /f

现在在 CMD - 管理员中运行此命令:

AdvancedRun.exe /Run TamperProtection.cfg

运行后重新启动,现在:

%windir%\script-ps内容:

sc.exe config WinDefend binPath=<original BINARY_PATH_NAME>
Get-Service WinDefend | Set-Service -StartupType Automatic
Set-MpPreference -EnableRealtimeMonitoring $true
Get-Service Sense | Set-Service -StartupType Automatic
Get-Service mpssvc | Set-Service -StartupType Automatic
Get-Service WdNisSvc | Set-Service -StartupType Automatic

现在在 CMD - 管理员中运行此命令:

AdvancedRun.exe /Run TamperProtection.cfg

运行后重新启动,现在 TamperProtection 已被禁用,并且 WinDefend 正在运行。

笔记:要重新启用,请将 TamperProtection 设置为 5 并重新启动。请参阅此其他答案以启用:

启用 Windows Defender 防篡改保护


已在 Win11 Enterprise 22H2 默认安装中验证

虽然这种方法目前有效,但如果 M$ 修补这个“答案”,将来可能就不再有效。

相关内容