Windows Defender: 실시간 비활성화; 예약 및 주문형 검색 유지

Question 1

"실시간 보호 끄기" 아래에 있는 그룹 정책 설정컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows Defender당신이 원하는 것을해야합니다.

그러나 내 시스템에서는 이 정책이 활성화되면 Antimalware Service Executable이 10초마다 계속 생성되고 즉시 닫힙니다. 매우 짜증나지만 드라이브의 모든 파일을 계속해서 검색하여 발생하는 일반적인 시스템 속도 저하에 비하면 아무 것도 아닙니다.

내 관련 질문에 주목하십시오.Windows Defender에서 다른 보호 기능을 끄지 않고 서명 기반 탐지를 비활성화하는 방법. 흥미로운 내용이 나올 수도 있습니다.

[업데이트] 위 방법을 사용하면 로그 파일이 지속적으로 커지게 됩니다., 에 위치 C:\ProgramData\Microsoft\Windows Defender\Support, 호출됨 MPLog-<datetime>.log.
이런 일이 발생하지 않도록 하는 방법이 있습니다. 처음 언급한 정책 대신 다음 정책을 비활성화로 설정하십시오. 즉, 그대로 두십시오.

컴퓨터의 파일 및 프로그램 활동 모니터링
다운로드한 모든 파일 및 첨부 파일을 검사합니다.
행동 모니터링 켜기
알려진 취약점 악용에 대한 네트워크 보호 활성화 *
원시 볼륨 쓰기 알림 켜기 *
정보 보호 제어 활성화 *

그러나 마지막 3개 항목(*로 표시)은 비활성화하지 않는 것이 좋습니다. 성능에 미치는 영향도 최소화됩니다.

이러한 정책 설정은 첫 번째 설정과 동일한 위치에서 찾을 수 있습니다 Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
메모:일부 Windows 버전에서는 "Windows Defender" 대신 "Endpoint Protection"이라는 용어를 사용합니다.

사용 중인 Windows 버전에 그룹 정책 편집기가 제공되지 않는 경우, 일부 레지스트리 항목을 설정하면 문제가 해결됩니다. 모두 아래에 있습니다 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(존재하지 않는 경우 이 키를 생성하세요). 다음 DWORD(32비트) 항목을 생성하고 1로 설정합니다.

비활성화OnAccessProtection
IOAV 보호 비활성화
비활성화행동모니터링
침입 방지 시스템 비활성화 *
비활성화RawWrite알림 *
비활성화정보보호제어 *

다시 한 번 마지막 3개 항목을 비활성화하지 않는 것이 좋습니다. 0으로 두거나 항목을 생성하지 않는 것이 더 좋습니다.

이러한 변경을 수행한 후에는 시스템을 다시 시작해야 합니다.

완전성을 기하기 위해 "실시간 보호 끄기" 정책에 대한 레지스트리 항목을 이라고 합니다 DisableRealtimeMonitoring.

[업데이트 2]부록: MBAE(Malwarebytes Anti-Exploit)는 일반적으로호환되지 않는Microsoft EMET(Enhanced Mitigation Experience Toolkit)를 사용합니다. EMET 보호 시스템에 설치할 때도 그렇게 말합니다. 직접 보려면 다운로드하세요.mbae-test.exe 여기에서, EMET 보호 앱 목록에 추가하고 MBAE를 활성화하여 로드해 보세요.
(그러나 시스템 전체 규칙(예: DEP 및 SEHOP)을 시행하기 위해 EMET만 사용하는 경우에는 문제가 없습니다. 두 솔루션으로 보호되는 응용 프로그램을 시작할 때만 문제가 발생할 수 있습니다.

Answer

"실시간 보호 끄기" 아래에 있는 그룹 정책 설정컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows Defender당신이 원하는 것을해야합니다.

그러나 내 시스템에서는 이 정책이 활성화되면 Antimalware Service Executable이 10초마다 계속 생성되고 즉시 닫힙니다. 매우 짜증나지만 드라이브의 모든 파일을 계속해서 검색하여 발생하는 일반적인 시스템 속도 저하에 비하면 아무 것도 아닙니다.

내 관련 질문에 주목하십시오.Windows Defender에서 다른 보호 기능을 끄지 않고 서명 기반 탐지를 비활성화하는 방법. 흥미로운 내용이 나올 수도 있습니다.

[업데이트] 위 방법을 사용하면 로그 파일이 지속적으로 커지게 됩니다., 에 위치 C:\ProgramData\Microsoft\Windows Defender\Support, 호출됨 MPLog-<datetime>.log.
이런 일이 발생하지 않도록 하는 방법이 있습니다. 처음 언급한 정책 대신 다음 정책을 비활성화로 설정하십시오. 즉, 그대로 두십시오.

컴퓨터의 파일 및 프로그램 활동 모니터링
다운로드한 모든 파일 및 첨부 파일을 검사합니다.
행동 모니터링 켜기
알려진 취약점 악용에 대한 네트워크 보호 활성화 *
원시 볼륨 쓰기 알림 켜기 *
정보 보호 제어 활성화 *

그러나 마지막 3개 항목(*로 표시)은 비활성화하지 않는 것이 좋습니다. 성능에 미치는 영향도 최소화됩니다.

이러한 정책 설정은 첫 번째 설정과 동일한 위치에서 찾을 수 있습니다 Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
메모:일부 Windows 버전에서는 "Windows Defender" 대신 "Endpoint Protection"이라는 용어를 사용합니다.

사용 중인 Windows 버전에 그룹 정책 편집기가 제공되지 않는 경우, 일부 레지스트리 항목을 설정하면 문제가 해결됩니다. 모두 아래에 있습니다 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(존재하지 않는 경우 이 키를 생성하세요). 다음 DWORD(32비트) 항목을 생성하고 1로 설정합니다.

비활성화OnAccessProtection
IOAV 보호 비활성화
비활성화행동모니터링
침입 방지 시스템 비활성화 *
비활성화RawWrite알림 *
비활성화정보보호제어 *

다시 한 번 마지막 3개 항목을 비활성화하지 않는 것이 좋습니다. 0으로 두거나 항목을 생성하지 않는 것이 더 좋습니다.

이러한 변경을 수행한 후에는 시스템을 다시 시작해야 합니다.

완전성을 기하기 위해 "실시간 보호 끄기" 정책에 대한 레지스트리 항목을 이라고 합니다 DisableRealtimeMonitoring.

[업데이트 2]부록: MBAE(Malwarebytes Anti-Exploit)는 일반적으로호환되지 않는Microsoft EMET(Enhanced Mitigation Experience Toolkit)를 사용합니다. EMET 보호 시스템에 설치할 때도 그렇게 말합니다. 직접 보려면 다운로드하세요.mbae-test.exe 여기에서, EMET 보호 앱 목록에 추가하고 MBAE를 활성화하여 로드해 보세요.
(그러나 시스템 전체 규칙(예: DEP 및 SEHOP)을 시행하기 위해 EMET만 사용하는 경우에는 문제가 없습니다. 두 솔루션으로 보호되는 응용 프로그램을 시작할 때만 문제가 발생할 수 있습니다.

Question 2

로 시작하는2019년 5월 업데이트(버전 1903), Windows 10에는 경험을 통해 직접 이루어지지 않은 무단 변경으로부터 Windows 보안 앱을 보호하도록 설계된 새로운 기능인 변조 방지 기능이 도입되었습니다.

이는 Windows 10에 추가 보호 계층을 추가하는 환영할 만한 추가 기능이지만 다른 앱이나 PowerShell 또는 명령 프롬프트와 같은 명령줄 도구를 통해 보안 설정을 관리해야 하는 경우 몇 가지 문제가 발생할 수 있습니다.

여기에는 그룹 정책을 통한 변경이 포함됩니다!

변조 방지 설정 변경

작업 표시줄의 검색 상자에 Windows 보안을 입력한 후 결과 목록에서 Windows 보안을 선택합니다. Windows 보안에서 바이러스 및 위협 방지를 선택한 다음 바이러스 및 위협 방지 설정에서 설정 관리를 선택합니다. 임의 변경 방지 설정을 켜짐 또는 꺼짐으로 변경합니다.

그런 다음 그룹 정책 편집기를 실행하고 위에서 언급한 세 가지 서비스를 비활성화합니다(비록 다운로드 검색이 유용하고 성능에 영향을 미치지 않는다고 생각하지만).실시간 보호가 활성화될 때마다 프로세스 검색을 켜십시오.. CMD에서 gpupdate /force를 실행하면 재부팅할 필요가 없습니다.

Regedit를 실행하고 이 줄이 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]에 추가되었는지 확인하세요.

"DisableBehaviorMonitoring"=dword:00000001 "DisableOnAccessProtection"=dword:00000001 "DisableScanOnRealtimeEnable"=dword:00000001 "DisableIOAVProtection" =dword:00000001

GPeditor에 대한 액세스 권한이 없으면 다음을 포함하는 .reg 스크립트를 생성하십시오.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001

훨씬 빨라진 시스템을 즐겨보세요. 또한 나는 다음을 사용하는 것이 좋습니다VThash 확인훨씬 더 포괄적인 스캔을 위한 유틸리티입니다.

Answer