如何在 Windows 10 1709、1803 或 1809 上禁用防篡改保护？

Question 1

您可以转到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features注册表项，然后将TamperProtectionDWORD 值设置0为关闭和5打开。

Answer

您可以转到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features注册表项，然后将TamperProtectionDWORD 值设置0为关闭和5打开。

Question 2

不，您不需要 Intune 或 SCCM，但您需要另一个具有 TI 权限的应用程序，因此我们可以修改相关的操作系统内部结构：Nirsoft-AdvancedRun

1 个主要缺点是在几次重启期间您将暂时没有保护，但这是我发现唯一有效的方法。

在 CMD - 管理员中运行此命令：

sc.exe qc windefend | findstr BINARY_PATH_NAME

将输出保存在 txt 文件中，以便我们稍后可以恢复该路径。

%windir%\script-ps内容：

Set-MpPreference -DisableRealtimeMonitoring $true
Get-Service WinDefend | Set-Service -StartupType Disabled
Get-Service Sense | Set-Service -StartupType Disabled
Get-Service mpssvc | Set-Service -StartupType Disabled
Get-Service WdNisSvc | Set-Service -StartupType Disabled
sc.exe config WinDefend binPath=%windir%\bfsvc.exe

TamperProtection.cfg内容：

[General]
EXEFilename=
CommandLine=(gc script-ps) | iex
StartDirectory=%windir%
WaitProcess=0
PriorityClass=32
WindowState=0
UseWindowPosition=0
WindowPosition=20,20
UseWindowSize=0
WindowSize=640,400
RunAs=8
RunAsProcessName=
EnvironmentVariablesMode=1
OSCompatMode=0
UseSearchPath=0
ParseVarCommandLine=1
UseAffinityMask=0
AffinityMask=0 1
Compat640480=0
CompatDisableVisualThemes=0
CompatDisableDesktopComp=0
CompatDisableFullScreenOpt=0
CompatHighDPI=0
CompatColors=0
RunAsUserName=
RunAsDomain=
RunFromService=0
ComputerName=
RunMode=4
ShellExecuteAction=
CommandWindowMode=2
[EnvironmentVariables]
Lines=0
WinPos=2C 00 00 00 00 00 00 00 01 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 65 00 00 00 18 00 00 00 9A 03 00 00 A0 02 00 00

现在在 CMD - 管理员中运行此命令：

AdvancedRun.exe /Run TamperProtection.cfg

隐藏的 PS 窗口以 TI 权限运行并执行命令（不是脚本，因此无需绕过 PS 限制）%windir%\script-ps。运行后重新启动，现在：

%windir%\script-ps内容：

reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v TamperProtection /t REG_DWORD /d 4 /f
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v TamperProtectionSource /t REG_DWORD /d 2 /f
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v SenseDevMode /t REG_DWORD /d 0 /f

现在在 CMD - 管理员中运行此命令：

AdvancedRun.exe /Run TamperProtection.cfg

运行后重新启动，现在：

%windir%\script-ps内容：

sc.exe config WinDefend binPath=<original BINARY_PATH_NAME>
Get-Service WinDefend | Set-Service -StartupType Automatic
Set-MpPreference -EnableRealtimeMonitoring $true
Get-Service Sense | Set-Service -StartupType Automatic
Get-Service mpssvc | Set-Service -StartupType Automatic
Get-Service WdNisSvc | Set-Service -StartupType Automatic

现在在 CMD - 管理员中运行此命令：

AdvancedRun.exe /Run TamperProtection.cfg

运行后重新启动，现在 TamperProtection 已被禁用，并且 WinDefend 正在运行。

笔记：要重新启用，请将 TamperProtection 设置为 5 并重新启动。请参阅此其他答案以启用：

启用 Windows Defender 防篡改保护

已在 Win11 Enterprise 22H2 默认安装中验证

虽然这种方法目前有效，但如果 M$ 修补这个“答案”，将来可能就不再有效。

Answer

不，您不需要 Intune 或 SCCM，但您需要另一个具有 TI 权限的应用程序，因此我们可以修改相关的操作系统内部结构：Nirsoft-AdvancedRun

1 个主要缺点是在几次重启期间您将暂时没有保护，但这是我发现唯一有效的方法。

在 CMD - 管理员中运行此命令：

sc.exe qc windefend | findstr BINARY_PATH_NAME

将输出保存在 txt 文件中，以便我们稍后可以恢复该路径。

%windir%\script-ps内容：

Set-MpPreference -DisableRealtimeMonitoring $true
Get-Service WinDefend | Set-Service -StartupType Disabled
Get-Service Sense | Set-Service -StartupType Disabled
Get-Service mpssvc | Set-Service -StartupType Disabled
Get-Service WdNisSvc | Set-Service -StartupType Disabled
sc.exe config WinDefend binPath=%windir%\bfsvc.exe

TamperProtection.cfg内容：

[General]
EXEFilename=
CommandLine=(gc script-ps) | iex
StartDirectory=%windir%
WaitProcess=0
PriorityClass=32
WindowState=0
UseWindowPosition=0
WindowPosition=20,20
UseWindowSize=0
WindowSize=640,400
RunAs=8
RunAsProcessName=
EnvironmentVariablesMode=1
OSCompatMode=0
UseSearchPath=0
ParseVarCommandLine=1
UseAffinityMask=0
AffinityMask=0 1
Compat640480=0
CompatDisableVisualThemes=0
CompatDisableDesktopComp=0
CompatDisableFullScreenOpt=0
CompatHighDPI=0
CompatColors=0
RunAsUserName=
RunAsDomain=
RunFromService=0
ComputerName=
RunMode=4
ShellExecuteAction=
CommandWindowMode=2
[EnvironmentVariables]
Lines=0
WinPos=2C 00 00 00 00 00 00 00 01 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 65 00 00 00 18 00 00 00 9A 03 00 00 A0 02 00 00

现在在 CMD - 管理员中运行此命令：

AdvancedRun.exe /Run TamperProtection.cfg

隐藏的 PS 窗口以 TI 权限运行并执行命令（不是脚本，因此无需绕过 PS 限制）%windir%\script-ps。运行后重新启动，现在：

%windir%\script-ps内容：

reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v TamperProtection /t REG_DWORD /d 4 /f
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v TamperProtectionSource /t REG_DWORD /d 2 /f
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v SenseDevMode /t REG_DWORD /d 0 /f

现在在 CMD - 管理员中运行此命令：

AdvancedRun.exe /Run TamperProtection.cfg

运行后重新启动，现在：

%windir%\script-ps内容：

sc.exe config WinDefend binPath=<original BINARY_PATH_NAME>
Get-Service WinDefend | Set-Service -StartupType Automatic
Set-MpPreference -EnableRealtimeMonitoring $true
Get-Service Sense | Set-Service -StartupType Automatic
Get-Service mpssvc | Set-Service -StartupType Automatic
Get-Service WdNisSvc | Set-Service -StartupType Automatic

现在在 CMD - 管理员中运行此命令：

AdvancedRun.exe /Run TamperProtection.cfg

运行后重新启动，现在 TamperProtection 已被禁用，并且 WinDefend 正在运行。

笔记：要重新启用，请将 TamperProtection 设置为 5 并重新启动。请参阅此其他答案以启用：

启用 Windows Defender 防篡改保护

已在 Win11 Enterprise 22H2 默认安装中验证

虽然这种方法目前有效，但如果 M$ 修补这个“答案”，将来可能就不再有效。

如何在 Windows 10 1709、1803 或 1809 上禁用防篡改保护？

答案1

答案2

相关内容