在 Windows 10 中禁用 Windows Defender

Question

我找不到有关如何在 Windows 10 中禁用 Windows Defender 的任何信息。在预览中有一些有关如何执行此操作的信息，但配置页面在最终版本中已更改。

具体来说，我想停止并禁用 Windows Defender 服务。

• 使用net stop windefend从提升的命令提示符下给出“拒绝访问”
• 即使以管理员身份登录，停止和启动类型在 sevices.msc 中也是灰色的
• 似乎没有在 Windows 10 中禁用 UAC 的 GUI 方式

有没有人想出如何在 Windows 10 中禁用 Defender？

Answer 1

您可以使用组策略来做到这一点。

打开 gpedit.msc

导航 Computer Configuration > Administrative Templates > Windows Components > Windows Defender

Turn off Windows Defender = 启用

如果您随后尝试打开 Windows Defender，您将看到：

即使在“设置”中它似乎已打开，但该服务并未运行：

更多信息：

http://aaron-hoffman.blogspot.com/2015/08/install-and-setup-windows-10-for.html

和http://www.download3k.com/articles/How-to-Turn-Off-Windows-Defender-Permanently-in-Windows-10-01350

Answer 2

我找到了另一种使用注册表的方法。

使用本文，我在以管理员身份登录时更改了注册表中 Defender 服务和驱动程序 (!!) 的启动类型。这是一个简短的总结：

1. 浏览注册表到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
2. 查找以“wd”开头且“描述”值中包含“Windows Defender”的服务。一个可能不完整的列表是：wdboot、wdfilter、wdnisdrv、wdnissvc、windefend。
3. 将Start每个服务的值更改为0x4（十六进制 4，十进制 4）。
4. 重启。

Answer 3

了解为什么不能停止特定服务会很有帮助。

• 我是管理员；管理员不能管理比失败更糟糕的事情吗？！

这是因为WinDefend服务的安全权限。

注意：WinDefend是“Windows Defender 防病毒服务”的实际名称

查看权限

如果从命令行运行：

>sc sdshow WinDefend

在哪里

• sdshow表示“显示服务的安全描述符”。

您将获得安全描述符：

C:\Users\Ian>sc sdshow WinDefend

D:(A;;CCLCSWRPLOCRRC;;;BU)(A;;CCLCSWRPLOCRRC;;;SY)(A;;CCLCSWRPLOCRRC;;;BA)(A;;CCLCSWRPLOCRRC;;;IU)(A;;CCLCSWRPLOCRRC;;;SU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736)

这是一个相当丑陋的 blob，微软完全没有记录它，但我们将尝试解码它。首先是自动换行：

D:
   (A;;CCLCSWRPLOCRRC;;;BU)
   (A;;CCLCSWRPLOCRRC;;;SY)
   (A;;CCLCSWRPLOCRRC;;;BA)
   (A;;CCLCSWRPLOCRRC;;;IU)
   (A;;CCLCSWRPLOCRRC;;;SU)
   (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)
   (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736)

这D:意味着这是一个自由访问控制列表。访问控制列表由许多访问控制条目 (ACE) 组成：

• D: 任意访问控制列表
  • ACE1： A;;CCLCSWRPLOCRRC;;;BU
  • ACE2： A;;CCLCSWRPLOCRRC;;;SY
  • ACE3： A;;CCLCSWRPLOCRRC;;;BA
  • ACE4： A;;CCLCSWRPLOCRRC;;;IU
  • ACE5： A;;CCLCSWRPLOCRRC;;;SU
  • ACE6： A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464
  • ACE7： A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736

每个ACE是一组5分号结束设置，其次是谁它适用于。

首先看看他们适用于谁，一篇随机的博客文章解码了其中的一些 （archive.is）：

• BU: 内置用户
• SY: 本地系统
• BA: 内置管理员
• UI: 交互式登录用户
• SU: 服务登录用户
• S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464: 受信任的安装程序
• S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736: 虚拟 NT 服务帐户 NT SERVICE\WinDefend

您可以通过运行以下命令获取与 SID 关联的名称：

>wmic useraccount where sid='S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736' get name

每个 ACE 都包含允许或拒绝用户的权限列表。

• D: 任意访问控制列表
  • ACE 1： A;;CCLCSWRPLOCRRC;;; 内置用户
  • ACE 2： A;;CCLCSWRPLOCRRC;;;本地系统
  • ACE 3： A;;CCLCSWRPLOCRRC;;; 内置管理员
  • ACE 4： A;;CCLCSWRPLOCRRC;;; 交互式用户
  • ACE 5： A;;CCLCSWRPLOCRRC;;; 服务登录用户
  • ACE 6： A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;; 可信安装程序
  • ACE 7： A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;; NT SERVICE\WinDefend

分解 ACE 中剩余的分号分隔部分：

• 高手： A;;CCLCSWRPLOCRRC;;;
  • 王牌类型：AACCESS_ALLOWED_ACE_TYPE
  • AceFlags：（无）
  • 访问掩码： CC LC SW RP LO CR RC
    • CC：CREATE_CHILD
    • LC: LIST_CHILDREN
    • SW: 自写
    • RP: READ_PROPERTY
    • LO: LIST_OBJECT
    • CR：控制访问
    • RC: READ_CONTROL
  • ObjectGuid：（ 无）
  • InheritObjectGuid: (无)

前导A表示Allowed，权限是两个字母的代码：

• D: 任意访问控制列表
  • ACE 1 : 允许, CC LC SW RP LO CR RC, 内置用户
  • ACE 2 : 允许, CC LC SW RP LO CR RC, 本地系统
  • ACE 3 : 允许CC LC SW RP LO CR RC、内置管理员
  • ACE 4 : 允许, CC LC SW RP LO CR RC, 交互式用户
  • ACE 5 : 允许, CC LC SW RP LO CR RC, 服务登录用户
  • ACE 6 : Allow, CC LC SW RP LO CR RC DC WP DT SD WD WO, Trusted installer
  • ACE 7 : 允许, CC LC SW RP LO CR RC DC WP DT SD WD WO, NT SERVICE\WinDefend

这就是我将不得不停下来保存我的工作的地方。这个关于如何停止 Windows Defender 服务的绕道很有趣：但我已经停止了它，我的电脑仍然行为不端。

剧透：

sc sdset WinDefend [newSDLString]

奖励阅读

• 如何使用 SDDL 指定 Windows 中服务的权限？ (存档.is )
• 如何将 SID 转换为用户名，反之亦然 ( archive.is )
• 爱的安全描述符定义语言（第 2 部分） （archive.is）
• Microsoft 安全描述符语言 - 2.5.1.1 语法 ( archive.is )

Answer 4

注意：从功能更新 1909 开始，这可能不再起作用。

精简版

1. 下载
2. 提炼
3. 双击 DisableDefender.reg

解释

到目前为止，在 Windows 10 中永久禁用 Windows Defender 的最有效和最干净的方法是通过组策略，如 Aaron Hoffman 所述。不幸的是，Windows 10 家庭版缺少必要的工具。

这是一个注册表文件，其中包含 gpedit.msc 在 Windows 10 Pro 计算机上所做的更改。它也在 Windows 10 Home 上进行了测试。将文件另存为DisableDefender.regWindows 样式的行尾，然后双击它以将其导入到您的注册表中。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001
"DisableRoutinelyTakingAction"=dword:00000001

如果您想重新启用 Defender，00000001请00000000在两条线上更改为。

您可以从 Gist下载文件以禁用和重新启用防御者。