Windows Defender: リアルタイムスキャンを無効にし、スケジュールされたオンデマンドスキャンを維持する

Question 1

「リアルタイム保護をオフにする「グループポリシー設定」は、コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Defenderあなたがしたいことをすればいいのです。

ただし、私のシステムでは、このポリシーを有効にすると、Antimalware Service Executable が 10 秒ごとに生成され続けます (そしてすぐに閉じます)。非常に迷惑ですが、ドライブ上のすべてのファイルを何度もスキャンすることによって発生する、より一般的なシステムの速度低下に比べれば大したことではありません。

私の関連する質問に注目してください:Windows Defender の他の保護をオフにせずにシグネチャベースの検出を無効にする方法何か面白いものが出てくるかも知れません。

[アップデート] 上記の方法を使用すると、ログファイルが常に大きくなります。、にあるC:\ProgramData\Microsoft\Windows Defender\Support、と呼ばれるMPLog-<datetime>.log。
これを防ぐ方法があります。最初に述べたポリシーではなく、次のポリシーを無効に設定するだけです。つまり、そのままにしておきます。

コンピュータ上のファイルとプログラムのアクティビティを監視する
ダウンロードしたファイルと添付ファイルをすべてスキャンする
行動監視をオンにする
既知の脆弱性の悪用に対するネットワーク保護を有効にする*
RAWボリューム書き込み通知をオンにする*
情報保護コントロールをオンにする*

ただし、最後の 3 つの項目 (* でマークされている項目) を無効にすることはお勧めしません。パフォーマンスへの影響も最小限です。

これらのポリシー設定は、最初のポリシー設定と同じ場所にありますComputer Configuration\Administrative Templates\Windows Components\Windows Defender。
注記：Windows の一部のバージョンでは、「Windows Defender」の代わりに「Endpoint Protection」という用語が使用されます。

お使いのWindowsエディションにグループポリシーエディターが付属していない場合レジストリエントリをいくつか設定すれば、問題は解決します。これらはすべてHKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(このキーが存在しない場合は作成してください) の下にあります。次の DWORD (32 ビット) エントリを作成し、1 に設定します。

アクセス時に保護を無効にする
IOAV保護を無効にする
動作監視を無効にする
侵入防止システムを無効にする *
生の書き込み通知を無効にする *
情報保護制御を無効にする *

最後の 3 つの項目を無効にすることはお勧めしません。0 のままにしておくか、さらに良い方法として、それらの項目のエントリを作成しないようにしてください。

これらの変更を行った後は、システムを再起動する必要があります。

完全を期すために、「リアルタイム保護をオフにする」ポリシーのレジストリエントリはと呼ばれますDisableRealtimeMonitoring。

[アップデート2]補足：Malwarebytes Anti-Exploit（MBAE）は一般的に非互換Microsoft Enhanced Mitigation Experience Toolkit (EMET) で保護されています。EMET で保護されたシステムにインストールする場合にもその旨が表示されます。ご自身で確認するには、ダウンロードしてください。mbae-test.exe ここからそれを EMET で保護されたアプリのリストに追加し、MBAE を有効にしてロードしてみます。
(ただし、システム全体のルール (つまり DEP と SEHOP) を強制するために EMET のみを使用する場合は問題ありません。両方のソリューションで保護されたアプリケーションを起動する場合のみ、問題が発生する可能性があります。)

Answer

「リアルタイム保護をオフにする「グループポリシー設定」は、コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Defenderあなたがしたいことをすればいいのです。

ただし、私のシステムでは、このポリシーを有効にすると、Antimalware Service Executable が 10 秒ごとに生成され続けます (そしてすぐに閉じます)。非常に迷惑ですが、ドライブ上のすべてのファイルを何度もスキャンすることによって発生する、より一般的なシステムの速度低下に比べれば大したことではありません。

私の関連する質問に注目してください:Windows Defender の他の保護をオフにせずにシグネチャベースの検出を無効にする方法何か面白いものが出てくるかも知れません。

[アップデート] 上記の方法を使用すると、ログファイルが常に大きくなります。、にあるC:\ProgramData\Microsoft\Windows Defender\Support、と呼ばれるMPLog-<datetime>.log。
これを防ぐ方法があります。最初に述べたポリシーではなく、次のポリシーを無効に設定するだけです。つまり、そのままにしておきます。

コンピュータ上のファイルとプログラムのアクティビティを監視する
ダウンロードしたファイルと添付ファイルをすべてスキャンする
行動監視をオンにする
既知の脆弱性の悪用に対するネットワーク保護を有効にする*
RAWボリューム書き込み通知をオンにする*
情報保護コントロールをオンにする*

ただし、最後の 3 つの項目 (* でマークされている項目) を無効にすることはお勧めしません。パフォーマンスへの影響も最小限です。

これらのポリシー設定は、最初のポリシー設定と同じ場所にありますComputer Configuration\Administrative Templates\Windows Components\Windows Defender。
注記：Windows の一部のバージョンでは、「Windows Defender」の代わりに「Endpoint Protection」という用語が使用されます。

お使いのWindowsエディションにグループポリシーエディターが付属していない場合レジストリエントリをいくつか設定すれば、問題は解決します。これらはすべてHKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(このキーが存在しない場合は作成してください) の下にあります。次の DWORD (32 ビット) エントリを作成し、1 に設定します。

アクセス時に保護を無効にする
IOAV保護を無効にする
動作監視を無効にする
侵入防止システムを無効にする *
生の書き込み通知を無効にする *
情報保護制御を無効にする *

最後の 3 つの項目を無効にすることはお勧めしません。0 のままにしておくか、さらに良い方法として、それらの項目のエントリを作成しないようにしてください。

これらの変更を行った後は、システムを再起動する必要があります。

完全を期すために、「リアルタイム保護をオフにする」ポリシーのレジストリエントリはと呼ばれますDisableRealtimeMonitoring。

[アップデート2]補足：Malwarebytes Anti-Exploit（MBAE）は一般的に非互換Microsoft Enhanced Mitigation Experience Toolkit (EMET) で保護されています。EMET で保護されたシステムにインストールする場合にもその旨が表示されます。ご自身で確認するには、ダウンロードしてください。mbae-test.exe ここからそれを EMET で保護されたアプリのリストに追加し、MBAE を有効にしてロードしてみます。
(ただし、システム全体のルール (つまり DEP と SEHOP) を強制するために EMET のみを使用する場合は問題ありません。両方のソリューションで保護されたアプリケーションを起動する場合のみ、問題が発生する可能性があります。)

Question 2

まずは2019 年 5 月更新 (バージョン 1903)Windows 10 では、エクスペリエンスを通じて直接行われない不正な変更から Windows セキュリティアプリを保護するように設計された新しい機能である改ざん防止が導入されています。

これは、Windows 10 にさらなる保護層を追加する歓迎すべき追加機能ですが、PowerShell やコマンドプロンプトなどの別のアプリやコマンドラインツールを使用してセキュリティ設定を管理する必要がある場合に、いくつかの問題が発生する可能性があります。

これには、グループポリシーを通じて変更を加えることも含まれます。

改ざん防止設定を変更する

タスクバーの検索ボックスに「Windows セキュリティ」と入力し、結果の一覧から [Windows セキュリティ] を選択します。[Windows セキュリティ] で [ウイルスと脅威の防止] を選択し、[ウイルスと脅威の防止] 設定で [設定の管理] を選択します。[改ざん防止] 設定を [オン] または [オフ] に変更します。

次に、グループポリシーエディターを起動し、上記の3つのサービスを無効にします（ダウンロードのスキャンは便利でパフォーマンスに影響を与えないと思いますが）そして、リアルタイム保護が有効になっている場合は常にプロセススキャンをオンにするCMD から gpupdate /force を実行します。再起動する必要はありません。

Regedit を実行し、これらの行が [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection] に追加されているかどうかを確認します。

"DisableBehaviorMonitoring" = dword:00000001 "DisableOnAccessProtection" = dword:00000001 "DisableScanOnRealtimeEnable" = dword:00000001 "DisableIOAVProtection" = dword:00000001

GPeditorにアクセスできない場合は、以下の.regスクリプトを作成します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001

より高速なシステムをお楽しみください。また、VThash チェックより包括的なスキャンのためのユーティリティ。

Answer