Windows Defender: Echtzeit deaktivieren; geplante und bedarfsgesteuerte Scans beibehalten

Question 1

Der "Echtzeitschutz deaktivieren" Gruppenrichtlinieneinstellung unterComputerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defendersollte tun, was Sie wollen.

In meinem System wird die Antimalware Service Executable jedoch etwa alle 10 Sekunden gestartet (und sofort geschlossen), wenn diese Richtlinie aktiviert ist. Sehr ärgerlich, aber immer noch nichts im Vergleich zu der allgemeineren Systemverlangsamung, die durch das wiederholte Scannen jeder Datei auf Ihrem Laufwerk verursacht wird.

Halten Sie Ausschau nach meiner damit zusammenhängenden Frage:So deaktivieren Sie die signaturbasierte Erkennung, ohne andere Schutzfunktionen in Windows Defender zu deaktivieren. Es könnte etwas Interessantes dabei herauskommen.

[Aktualisieren] Die Verwendung der obigen Methode führt dazu, dass die Protokolldatei ständig wächst, befindet sich in C:\ProgramData\Microsoft\Windows Defender\Support, genannt MPLog-<datetime>.log.
Es gibt eine Möglichkeit, dies zu verhindern. Setzen Sie einfach die folgenden Richtlinien auf Deaktiviert, statt der zuerst erwähnten, d. h. lassen Sie diese unverändert:

Überwachen Sie die Datei- und Programmaktivität auf Ihrem Computer
Alle heruntergeladenen Dateien und Anhänge scannen
Verhaltensüberwachung aktivieren
Aktivieren Sie den Netzwerkschutz gegen Ausnutzung bekannter Schwachstellen *
Benachrichtigungen zum Schreiben von Rohdatenträgern aktivieren *
Information Protection Control aktivieren *

Von der Deaktivierung der letzten 3 Elemente (mit * gekennzeichnet) rate ich allerdings ab. Auch ihr Einfluss auf die Leistung ist minimal.

Diese Richtlinieneinstellungen finden Sie am selben Speicherort wie die erste: Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
Notiz:Einige Windows-Versionen verwenden den Begriff „Endpoint Protection“ anstelle von „Windows Defender“.

Wenn Ihre Windows-Edition nicht über den Gruppenrichtlinien-Editor verfügt, das Setzen einiger Registrierungseinträge wird den Trick machen. Sie befinden sich alle unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(erstellen Sie diesen Schlüssel, falls er nicht existiert). Erstellen Sie die folgenden DWORD-Einträge (32-Bit) und setzen Sie sie auf 1:

DisableOnAccessProtection
Deaktivieren Sie IOAVProtection
Verhaltensüberwachung deaktivieren
DisableIntrusionPreventionSystem *
DisableRawWriteNotification *
DisableInformationProtectionControl *

Auch hier rate ich davon ab, die letzten drei Elemente zu deaktivieren. Lassen Sie sie auf 0 oder erstellen Sie besser noch keine Einträge für sie.

Nach diesen Änderungen ist ein Systemneustart erforderlich.

Nur der Vollständigkeit halber heißt der Registrierungseintrag für die Richtlinie „Echtzeitschutz deaktivieren“ DisableRealtimeMonitoring.

[Aktualisierung 2]Ein Nachtrag: Malwarebytes Anti-Exploit (MBAE) ist im Allgemeinenunvereinbarmit dem Microsoft Enhanced Mitigation Experience Toolkit (EMET). Dies wird sogar angezeigt, wenn es auf einem EMET-geschützten System installiert wird. Um sich selbst davon zu überzeugen, laden Siembae-test.exe von hier, fügen Sie es der Liste der EMET-geschützten Apps hinzu und versuchen Sie, es mit aktiviertem MBAE zu laden.
(Wenn Sie EMET jedoch nur verwenden, um systemweite Regeln durchzusetzen – also DEP und SEHOP – ist das kein Problem. Nur beim Starten einer Anwendung, die durch beide Lösungen geschützt ist, müssen Sie mit Problemen rechnen.)

Answer

Der "Echtzeitschutz deaktivieren" Gruppenrichtlinieneinstellung unterComputerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defendersollte tun, was Sie wollen.

In meinem System wird die Antimalware Service Executable jedoch etwa alle 10 Sekunden gestartet (und sofort geschlossen), wenn diese Richtlinie aktiviert ist. Sehr ärgerlich, aber immer noch nichts im Vergleich zu der allgemeineren Systemverlangsamung, die durch das wiederholte Scannen jeder Datei auf Ihrem Laufwerk verursacht wird.

Halten Sie Ausschau nach meiner damit zusammenhängenden Frage:So deaktivieren Sie die signaturbasierte Erkennung, ohne andere Schutzfunktionen in Windows Defender zu deaktivieren. Es könnte etwas Interessantes dabei herauskommen.

[Aktualisieren] Die Verwendung der obigen Methode führt dazu, dass die Protokolldatei ständig wächst, befindet sich in C:\ProgramData\Microsoft\Windows Defender\Support, genannt MPLog-<datetime>.log.
Es gibt eine Möglichkeit, dies zu verhindern. Setzen Sie einfach die folgenden Richtlinien auf Deaktiviert, statt der zuerst erwähnten, d. h. lassen Sie diese unverändert:

Überwachen Sie die Datei- und Programmaktivität auf Ihrem Computer
Alle heruntergeladenen Dateien und Anhänge scannen
Verhaltensüberwachung aktivieren
Aktivieren Sie den Netzwerkschutz gegen Ausnutzung bekannter Schwachstellen *
Benachrichtigungen zum Schreiben von Rohdatenträgern aktivieren *
Information Protection Control aktivieren *

Von der Deaktivierung der letzten 3 Elemente (mit * gekennzeichnet) rate ich allerdings ab. Auch ihr Einfluss auf die Leistung ist minimal.

Diese Richtlinieneinstellungen finden Sie am selben Speicherort wie die erste: Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
Notiz:Einige Windows-Versionen verwenden den Begriff „Endpoint Protection“ anstelle von „Windows Defender“.

Wenn Ihre Windows-Edition nicht über den Gruppenrichtlinien-Editor verfügt, das Setzen einiger Registrierungseinträge wird den Trick machen. Sie befinden sich alle unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(erstellen Sie diesen Schlüssel, falls er nicht existiert). Erstellen Sie die folgenden DWORD-Einträge (32-Bit) und setzen Sie sie auf 1:

DisableOnAccessProtection
Deaktivieren Sie IOAVProtection
Verhaltensüberwachung deaktivieren
DisableIntrusionPreventionSystem *
DisableRawWriteNotification *
DisableInformationProtectionControl *

Auch hier rate ich davon ab, die letzten drei Elemente zu deaktivieren. Lassen Sie sie auf 0 oder erstellen Sie besser noch keine Einträge für sie.

Nach diesen Änderungen ist ein Systemneustart erforderlich.

Nur der Vollständigkeit halber heißt der Registrierungseintrag für die Richtlinie „Echtzeitschutz deaktivieren“ DisableRealtimeMonitoring.

[Aktualisierung 2]Ein Nachtrag: Malwarebytes Anti-Exploit (MBAE) ist im Allgemeinenunvereinbarmit dem Microsoft Enhanced Mitigation Experience Toolkit (EMET). Dies wird sogar angezeigt, wenn es auf einem EMET-geschützten System installiert wird. Um sich selbst davon zu überzeugen, laden Siembae-test.exe von hier, fügen Sie es der Liste der EMET-geschützten Apps hinzu und versuchen Sie, es mit aktiviertem MBAE zu laden.
(Wenn Sie EMET jedoch nur verwenden, um systemweite Regeln durchzusetzen – also DEP und SEHOP – ist das kein Problem. Nur beim Starten einer Anwendung, die durch beide Lösungen geschützt ist, müssen Sie mit Problemen rechnen.)

Question 2

Beginnend mit demUpdate vom Mai 2019 (Version 1903), Windows 10 führt den Manipulationsschutz ein, eine neue Funktion, die die Windows-Sicherheits-App vor unbefugten Änderungen schützen soll, die nicht direkt durch die Erfahrung vorgenommen werden.

Obwohl dies eine willkommene Ergänzung ist, die eine zusätzliche Schutzebene unter Windows 10 hinzufügt, kann es zu Problemen führen, wenn Sie die Sicherheitseinstellungen über eine andere App oder Befehlszeilentools wie PowerShell oder die Eingabeaufforderung verwalten müssen.

Hierzu gehört auch das Vornehmen von Änderungen über die Gruppenrichtlinie!

Ändern der Manipulationsschutzeinstellung

Geben Sie im Suchfeld auf der Taskleiste „Windows-Sicherheit“ ein und wählen Sie dann in der Ergebnisliste „Windows-Sicherheit“ aus. Wählen Sie unter „Windows-Sicherheit“ „Viren- und Bedrohungsschutz“ und dann unter „Viren- und Bedrohungsschutzeinstellungen“ die Option „Einstellungen verwalten“ aus. Ändern Sie die Einstellung „Manipulationsschutz“ in „Ein“ oder „Aus“.

Starten Sie dann den Gruppenrichtlinieneditor und deaktivieren Sie die drei oben genannten Dienste (obwohl ich denke, dass das Scannen von Downloads nützlich ist und die Leistung nicht beeinträchtigt) UND eine neue Einstellung namensAktivieren Sie die Prozessüberprüfung, wenn der Echtzeitschutz aktiviert ist. Führen Sie gpupdate /force von CMD aus, ein Neustart ist nicht erforderlich.

Führen Sie Regedit aus und prüfen Sie, ob diese Zeilen zu [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection] hinzugefügt wurden.

„DisableBehaviorMonitoring“ = dword:00000001 „DisableOnAccessProtection“ = dword:00000001 „DisableScanOnRealtimeEnable“ = dword:00000001 „DisableIOAVProtection“ = dword:00000001

Wenn Sie keinen Zugriff auf GPeditor haben, erstellen Sie ein .reg-Skript mit

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001

Genießen Sie Ihr viel schnelleres System. Außerdem empfehle ich die VerwendungVThash-PrüfungDienstprogramm für viel umfassenderes Scannen.

Answer

Beginnend mit demUpdate vom Mai 2019 (Version 1903), Windows 10 führt den Manipulationsschutz ein, eine neue Funktion, die die Windows-Sicherheits-App vor unbefugten Änderungen schützen soll, die nicht direkt durch die Erfahrung vorgenommen werden.

Obwohl dies eine willkommene Ergänzung ist, die eine zusätzliche Schutzebene unter Windows 10 hinzufügt, kann es zu Problemen führen, wenn Sie die Sicherheitseinstellungen über eine andere App oder Befehlszeilentools wie PowerShell oder die Eingabeaufforderung verwalten müssen.