Windows Defender: deshabilite el tiempo real; mantenga el escaneo programado y bajo demanda

Question 1

El "Desactivar la protección en tiempo real"Configuración de política de grupo, ubicada enConfiguración del equipo\Plantillas administrativas\Componentes de Windows\Windows Defenderdeberías hacer lo que quieras.

En mi sistema, sin embargo, el ejecutable del servicio Antimalware sigue apareciendo (y se cierra instantáneamente) aproximadamente cada 10 segundos cuando esta política está habilitada. Muy molesto, pero nada comparado con la desaceleración más general del sistema causada por escanear cada archivo en su disco una y otra vez.

Esté atento a esta pregunta mía relacionada:Cómo deshabilitar la detección basada en firmas sin desactivar otras protecciones en Windows Defender. Puede que salga algo de interés.

[Actualizar] El uso del método anterior dará como resultado un archivo de registro que crecerá constantemente., ubicado en C:\ProgramData\Microsoft\Windows Defender\Support, llamado MPLog-<datetime>.log.
Hay una manera de evitar que esto suceda. Simplemente configure las siguientes políticas como Desactivadas, en lugar de la que mencioné primero, es decir, déjela intacta:

Supervise la actividad de archivos y programas en su computadora
Escanee todos los archivos y archivos adjuntos descargados
Activar el seguimiento del comportamiento
Active la protección de la red contra exploits de vulnerabilidades conocidas *
Activar notificaciones de escritura de volumen sin procesar *
Activar el control de protección de la información *

Sin embargo, desaconsejaría deshabilitar los últimos 3 elementos (marcados con un *). Su impacto en el rendimiento también es mínimo.

Estas configuraciones de política se pueden encontrar en la misma ubicación que la primera: Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
Nota:Algunas versiones de Windows utilizan el término "Endpoint Protection" en lugar de "Windows Defender".

Si su edición de Windows no viene con el Editor de políticas de grupo, configurar algunas entradas de registro será suficiente. Todos se encuentran debajo HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(crea esta clave si no existe). Cree las siguientes entradas DWORD (32 bits) y configúrelas en 1:

Desactivar protección de acceso
Deshabilitar la protección IOAV
Deshabilitar el monitoreo de comportamiento
Deshabilitar el sistema de prevención de intrusiones *
Desactivar notificación RawWrite *
Desactivar control de protección de información *

Nuevamente recomiendo no deshabilitar los últimos 3 elementos. Déjalos como 0, o mejor aún, no crees entradas para ellos.

Es necesario reiniciar el sistema después de realizar estos cambios.

Sólo para completar, la entrada del Registro para la política "Desactivar la protección en tiempo real" se llama DisableRealtimeMonitoring.

[Actualización 2]Un apéndice: Malwarebytes Anti-Exploit (MBAE) generalmente esincompatiblecon el kit de herramientas de experiencia de mitigación mejorada de Microsoft (EMET). Incluso lo dice al instalarlo en un sistema protegido por EMET. Para comprobarlo usted mismo, descarguembae-test.exe de aquí, agréguelo a la lista de aplicaciones protegidas por EMET e intente cargarlo con MBAE habilitado.
(Sin embargo, si solo usa EMET para hacer cumplir las reglas de todo el sistema, es decir, DEP y SEHOP, está bien. Solo debe esperar problemas al iniciar una aplicación protegida por ambas soluciones).

Answer

El "Desactivar la protección en tiempo real"Configuración de política de grupo, ubicada enConfiguración del equipo\Plantillas administrativas\Componentes de Windows\Windows Defenderdeberías hacer lo que quieras.

En mi sistema, sin embargo, el ejecutable del servicio Antimalware sigue apareciendo (y se cierra instantáneamente) aproximadamente cada 10 segundos cuando esta política está habilitada. Muy molesto, pero nada comparado con la desaceleración más general del sistema causada por escanear cada archivo en su disco una y otra vez.

Esté atento a esta pregunta mía relacionada:Cómo deshabilitar la detección basada en firmas sin desactivar otras protecciones en Windows Defender. Puede que salga algo de interés.

[Actualizar] El uso del método anterior dará como resultado un archivo de registro que crecerá constantemente., ubicado en C:\ProgramData\Microsoft\Windows Defender\Support, llamado MPLog-<datetime>.log.
Hay una manera de evitar que esto suceda. Simplemente configure las siguientes políticas como Desactivadas, en lugar de la que mencioné primero, es decir, déjela intacta:

Supervise la actividad de archivos y programas en su computadora
Escanee todos los archivos y archivos adjuntos descargados
Activar el seguimiento del comportamiento
Active la protección de la red contra exploits de vulnerabilidades conocidas *
Activar notificaciones de escritura de volumen sin procesar *
Activar el control de protección de la información *

Sin embargo, desaconsejaría deshabilitar los últimos 3 elementos (marcados con un *). Su impacto en el rendimiento también es mínimo.

Estas configuraciones de política se pueden encontrar en la misma ubicación que la primera: Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
Nota:Algunas versiones de Windows utilizan el término "Endpoint Protection" en lugar de "Windows Defender".

Si su edición de Windows no viene con el Editor de políticas de grupo, configurar algunas entradas de registro será suficiente. Todos se encuentran debajo HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(crea esta clave si no existe). Cree las siguientes entradas DWORD (32 bits) y configúrelas en 1:

Desactivar protección de acceso
Deshabilitar la protección IOAV
Deshabilitar el monitoreo de comportamiento
Deshabilitar el sistema de prevención de intrusiones *
Desactivar notificación RawWrite *
Desactivar control de protección de información *

Nuevamente recomiendo no deshabilitar los últimos 3 elementos. Déjalos como 0, o mejor aún, no crees entradas para ellos.

Es necesario reiniciar el sistema después de realizar estos cambios.

Sólo para completar, la entrada del Registro para la política "Desactivar la protección en tiempo real" se llama DisableRealtimeMonitoring.

[Actualización 2]Un apéndice: Malwarebytes Anti-Exploit (MBAE) generalmente esincompatiblecon el kit de herramientas de experiencia de mitigación mejorada de Microsoft (EMET). Incluso lo dice al instalarlo en un sistema protegido por EMET. Para comprobarlo usted mismo, descarguembae-test.exe de aquí, agréguelo a la lista de aplicaciones protegidas por EMET e intente cargarlo con MBAE habilitado.
(Sin embargo, si solo usa EMET para hacer cumplir las reglas de todo el sistema, es decir, DEP y SEHOP, está bien. Solo debe esperar problemas al iniciar una aplicación protegida por ambas soluciones).

Question 2

Comenzando con elActualización de mayo de 2019 (versión 1903), Windows 10 presenta Tamper Protection, que es una nueva característica diseñada para proteger la aplicación de seguridad de Windows contra cambios no autorizados que no se realizan directamente a través de la experiencia.

Aunque esta es una adición bienvenida que agrega una capa adicional de protección en Windows 10, puede causar algunos problemas cuando necesita administrar la configuración de seguridad a través de otra aplicación o herramientas de línea de comandos, como PowerShell o Símbolo del sistema.

¡Esto incluye realizar cambios a través de la Política de grupo!

Cambiar la configuración de protección contra manipulaciones

En el cuadro de búsqueda de la barra de tareas, escriba Seguridad de Windows y luego seleccione Seguridad de Windows en la lista de resultados. En Seguridad de Windows, seleccione Protección contra virus y amenazas y luego, en Configuración de protección contra virus y amenazas, seleccione Administrar configuración. Cambie la configuración de Protección contra manipulaciones a Activada o Desactivada.

Luego inicie el editor de políticas de grupo y desactive los tres servicios mencionados anteriormente (aunque creo que escanear descargas es útil y no afecta el rendimiento) Y una nueva configuración llamadaActive el análisis de procesos siempre que esté habilitada la protección en tiempo real. Ejecute gpupdate /force desde CMD, no es necesario reiniciar.

Ejecute Regedit y verifique si estas líneas están agregadas en [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]

"DisableBehaviorMonitoring"=dword:00000001 "DisableOnAccessProtection"=dword:00000001 "DisableScanOnRealtimeEnable"=dword:00000001 "DisableIOAVProtection" =dword:00000001

Si no tiene acceso a GPeditor, cree un script .reg que contenga

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001

Disfruta de tu sistema mucho más rápido. También recomiendo usarcheque vthashutilidad para un escaneo mucho más completo.

Answer

Comenzando con elActualización de mayo de 2019 (versión 1903), Windows 10 presenta Tamper Protection, que es una nueva característica diseñada para proteger la aplicación de seguridad de Windows contra cambios no autorizados que no se realizan directamente a través de la experiencia.

Aunque esta es una adición bienvenida que agrega una capa adicional de protección en Windows 10, puede causar algunos problemas cuando necesita administrar la configuración de seguridad a través de otra aplicación o herramientas de línea de comandos, como PowerShell o Símbolo del sistema.