如何使用 GPO 永久禁用 Windows Defender 实时保护？

Question

我喜欢在 Windows 10 专业版上通过 GPO 禁用 Windows Defender 实时保护。当我配置 GPO 时，实时保护显示为关闭。然而，重新启动后，保护再次神奇地启用。

GPO 设置没有改变。我正在尝试禁用实时保护，以便能够分析和逆向工程恶意软件。

此外，即使 Windows 告诉我实时保护由管理员管理，它仍然在后台启用。

我真的想知道是否有办法完全禁用 Windows Defender + 实时保护，或者微软是否使这成为不可能。

Answer 1

在较新版本的 Windows 中，Microsoft Defender 的组策略设置已恢复。
为了防止这种情况，在更改它们之前：

1. 打开资源监视器（resmon.exe在搜索框中键入）
2. 概述
3. MsMpEng.exe在列表中查找
4. 右键单击 > Suspend Process

在较新版本的 Windows 中，添加了篡改保护。在更改组策略设置之前
必须禁用篡改保护，否则这些设置将被忽略。

1. 打开 Windows 安全（Windows Security在搜索框中键入）
2. 病毒和威胁防护 > 病毒和威胁防护设置 > 管理设置
3. 切换Tamper Protection到Off

要永久禁用实时保护：

1. 打开本地组策略编辑器（gpedit.msc在搜索框中键入）
2. 计算机配置 > 管理模板 > Windows 组件 > Microsoft Defender 防病毒 > 实时保护
3. 使能够 Turn off real-time protection
4. 重新启动计算机

永久禁用 Microsoft Defender：

1. 打开本地组策略编辑器（gpedit.msc在搜索框中键入）
2. 计算机配置 > 管理模板 > Windows 组件 > Microsoft Defender 防病毒
3. 使能够 Turn off Microsoft Defender Antivirus
4. 重新启动计算机

Answer 2

• 注册表编辑器
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
• 新建 > DWORD DisableAntiSpyware
• 将其设置为 1
• 重启

如果它不起作用，则再执行一步：

• 注册表编辑器
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection （如果不存在则创建此密钥）
• 新建 > DWORD DisableBehaviorMonitoring; 将其设置为1
• 新建 > DWORD DisableOnAccessProtection; 将其设置为1
• 新建 > DWORD DisableScanOnRealtimeEnable; 将其设置为1
• 重启

您也可以将下面的代码保存到disable_realtime_protection.reg并运行

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001