Windows Defender: Vô hiệu hóa thời gian thực; giữ lịch trình và quét theo yêu cầu


6

Tôi vừa nâng cấp lên Win 10 (bản dựng RTM). Tôi đã vô hiệu hóa tính năng bảo vệ thời gian thực của AV (Defender) được tích hợp bởi vì tôi không chạy nó, chưa bao giờ làm và chưa bao giờ bị nhiễm vi-rút (và tôi đã có một máy tính trong 30 năm).

Tôi đã có thể vô hiệu hóa quét thời gian thực bằng cách bật Chính sách bảo vệ vô hiệu hóa của Chính sách nhóm . Nhưng điều này vô hiệu hóa ứng dụng hoàn toàn. Có thể sử dụng cấu hình này (mà tôi đã sử dụng với Essential Essentials của Win 7) với Win10 Defender:

  • Quét thời gian thực
  • Quét theo lịch trình (2AM) hoạt động
  • Theo yêu cầu (tích hợp vỏ phải nhấp chuột) quét hoạt động

?

Hay tôi phải cài đặt máy quét bên thứ 3 ? Tôi đã chạy MBAM Premium, MBAEEMET (những người đang bảo vệ trong thời gian thực, vì tác động của họ đến hiệu suất là tối thiểu), nhưng tôi thực sự muốn tránh AV của bên thứ 3.

TIA


Tôi chính xác trong tình huống của bạn. Thật là xấu hổ khi không có tùy chọn nâng cao để đạt được kịch bản đơn giản này.
Erwin

Tôi đã vô hiệu hóa Windows Defender hoàn toàn thông qua chính sách nhóm (mặc dù điều này có thể không cần thiết khi bạn cài đặt AV thứ 2) sau đó cài đặt Bitdefender Free để quét theo lịch và theo yêu cầu. Ngoài ra, bạn có thể quét đồng thời theo yêu cầu của exe bằng cách sử dụng hơn một tá động cơ (quét trên đám mây) bằng Secure-A-Plus.
Gaia

@Erwin Kiểm tra câu trả lời của tôi nếu bạn vẫn quan tâm đến điều này.
Marc.2377

Câu trả lời:


5

Cài đặt Chính sách nhóm " Tắt bảo vệ thời gian thực ", nằm trong Cấu hình máy tính \ Mẫu quản trị \ Cấu phần Windows \ Windows Defender sẽ làm những gì bạn muốn.

Tuy nhiên, trong hệ thống của tôi, Dịch vụ chống phần mềm thực thi sẽ tiếp tục sinh sản (và đóng ngay lập tức) cứ sau 10 giây hoặc lâu hơn khi chính sách này được bật. Rất khó chịu, nhưng vẫn không có gì so với hệ thống chậm hơn nói chung do quét mọi tệp trên ổ đĩa của bạn nhiều lần.

Hãy theo dõi câu hỏi liên quan này của tôi: Làm cách nào để tắt phát hiện dựa trên chữ ký mà không tắt các biện pháp bảo vệ khác trong Windows Defender . Một cái gì đó quan tâm có thể đi ra.


[Cập nhật] Sử dụng phương pháp trên sẽ dẫn đến một tệp nhật ký phát triển liên tục , nằm trong C:\ProgramData\Microsoft\Windows Defender\Support, được gọi MPLog-<datetime>.log.
Có một cách để ngăn chặn điều này xảy ra. Chỉ cần đặt các chính sách sau thành Vô hiệu hóa, thay vì chính sách mà tôi đã đề cập đầu tiên, ví dụ như không bị ảnh hưởng:

  • Giám sát hoạt động tập tin và chương trình trên máy tính của bạn
  • Quét tất cả các tệp và tệp đính kèm đã tải xuống
  • Bật giám sát hành vi
  • Bật bảo vệ mạng chống lại việc khai thác các lỗ hổng đã biết *
  • Bật thông báo ghi âm lượng thô *
  • Bật Kiểm soát bảo vệ thông tin *

Tuy nhiên, tôi khuyên bạn không nên vô hiệu hóa 3 mục cuối (được đánh dấu *). Tác động của họ đến hiệu suất cũng là tối thiểu.

Các cài đặt chính sách này có thể được tìm thấy ở cùng vị trí với vị trí đầu tiên : Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
Lưu ý: Một số phiên bản Windows sử dụng thuật ngữ "Bảo vệ điểm cuối" thay vì "Bảo vệ Windows".


Nếu phiên bản Windows của bạn không đi kèm với Trình chỉnh sửa chính sách nhóm , việc đặt một số mục đăng ký sẽ thực hiện thủ thuật. Tất cả chúng đều nằm dưới HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(tạo khóa này nếu nó không tồn tại). Tạo các mục DWORD (32-bit) sau và đặt chúng thành 1:

  • Vô hiệu hóaOnAccessProtection
  • Vô hiệu hóa bảo vệ
  • Vô hiệu hóaBehaviorMonitoring
  • Vô hiệu hóaIntrusionPreventSystem *
  • Vô hiệu hóaRawWriteNotification *
  • Vô hiệu hóa Thông tinProtectionControl *

Một lần nữa tôi khuyên bạn không nên vô hiệu hóa 3 mục cuối. Để chúng là 0 hoặc tốt hơn là không tạo các mục cho chúng.

Yêu cầu khởi động lại hệ thống sau khi thực hiện những thay đổi này.

Để hoàn thiện, mục nhập Sổ đăng ký cho chính sách "Tắt bảo vệ thời gian thực" được gọi DisableRealtimeMonitoring.


[Cập nhật 2] Một phụ lục: Malwarebytes Anti-Miningit (MBAE) thường không tương thích với Bộ công cụ trải nghiệm giảm thiểu tăng cường của Microsoft (EMET). Nó thậm chí còn nói như vậy khi cài đặt nó trên một hệ thống được bảo vệ bởi EMET. Để tự mình xem, hãy tải xuống mbae-test.exe từ đây , thêm nó vào danh sách các ứng dụng được bảo vệ bởi EMET và thử tải nó với bật MBAE.
(Tuy nhiên, nếu bạn chỉ sử dụng EMET để thực thi các quy tắc trên toàn hệ thống - tức là DEP và SEHOP - thì không sao. Chỉ khi khởi chạy một ứng dụng được bảo vệ bởi cả hai giải pháp mà bạn sẽ gặp rắc rối.)


Tệp nhật ký nằm trong "C: \ ProgramData \ Microsoft \ Microsoft Antimalware \ Support" trên Win 10 Pro
Gaia

Giành được 10 Pro English, cập nhật cho đến ngày hôm nay (Tôi không cập nhật kênh nhanh hay bất cứ thứ gì được gọi)
Gaia

@Gaia Thú vị. Điều đó giống như thiết lập của tôi. Tốt để biết trong mọi trường hợp.
Marc.2377

Nếu chính sách nhóm của bạn không hoạt động trong Windows 10 Pro hoặc Enterprise, hãy xem: Không thể vô hiệu hóa kế thừa chính sách nhóm khỏi tên miền (Serverfault)
Marc.2377

(Đăng lại) C:\Users\All Userschỉ là một liên kết đến C:\ProgramData, theo câu trả lời này . Tuy nhiên, trong hệ thống của tôi, thư mục được gọi là 'Windows Defender' thay vì 'Microsoft Antimalware'.
Marc.2377

-1

Bắt đầu với Bản cập nhật tháng 5 năm 2019 (phiên bản 1903) , Windows 10 đang giới thiệu Tamper Protection, đây là một tính năng mới được thiết kế để bảo vệ ứng dụng Windows Security trước những thay đổi trái phép không được thực hiện trực tiếp thông qua trải nghiệm.

Mặc dù đây là một bổ sung đáng hoan nghênh có thêm một lớp bảo vệ bổ sung trên Windows 10, nhưng nó có thể gây ra một số vấn đề khi bạn cần quản lý cài đặt bảo mật thông qua một ứng dụng hoặc công cụ dòng lệnh khác, như PowerShell hoặc Command Prompt.

Điều này bao gồm thực hiện các thay đổi thông qua Chính sách nhóm!

Thay đổi cài đặt Tamper Protection

Trong hộp tìm kiếm trên thanh tác vụ, nhập Windows Security và sau đó chọn Windows Security trong danh sách kết quả. Trong Windows Security, chọn Virus & bảo vệ mối đe dọa, sau đó trong cài đặt Bảo vệ chống virus & mối đe dọa, chọn Quản lý cài đặt. Thay đổi cài đặt Tamper Protection thành Bật hoặc Tắt.

Sau đó, khởi chạy trình chỉnh sửa chính sách nhóm và vô hiệu hóa ba dịch vụ đã nói ở trên (mặc dù tôi nghĩ rằng quét tải xuống là hữu ích và không ảnh hưởng đến hiệu suất) VÀ một cài đặt mới có tên Bật quét quá trình bất cứ khi nào bật bảo vệ thời gian thực . Chạy gpupdate / force từ CMD, không cần khởi động lại.

Chạy Regedit và kiểm tra xem các dòng này có được thêm vào [HKEY_LOCAL_MACHINE \ SOFTWARE \ Chính sách \ Microsoft \ Windows Defender \ Bảo vệ thời gian thực]

"DisableBehaviorMonitoring" = dword: 00000001 "DisableOnAccessProtection" = dword: 00000001 "DisableScanOnRealtimeEnable" = dword: 00000001 "DisableIOAVProtection" = dword: 00000001

Nếu bạn không có quyền truy cập GPeditor, hãy tạo tập lệnh .reg chứa

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001

Tận hưởng hệ thống nhanh hơn nhiều của bạn. Ngoài ra tôi khuyên bạn nên sử dụng tiện ích kiểm tra VThash để quét toàn diện hơn nhiều.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.