Windows Defender: Desative o tempo real; mantenha a verificação agendada e sob demanda

Question 1

O "Desative a proteção em tempo real"Configuração de Política de Grupo, localizada emConfiguração do Computador\Modelos Administrativos\Componentes do Windows\Windows Defenderdeve fazer o que quiser.

No meu sistema, entretanto, o Executável do Serviço Antimalware continua sendo gerado (e fecha instantaneamente) a cada 10 segundos ou mais quando esta política está habilitada. Muito chato, mas ainda nada comparado à lentidão geral do sistema causada pela verificação repetida de todos os arquivos da unidade.

Fique atento a esta minha pergunta relacionada:Como desabilitar a detecção baseada em assinatura sem desligar outras proteções no Windows Defender. Algo de interesse pode surgir.

[Atualizar] Usar o método acima resultará em um arquivo de log crescendo constantemente, localizado em C:\ProgramData\Microsoft\Windows Defender\Support, chamado MPLog-<datetime>.log.
Existe uma maneira de evitar que isso aconteça. Basta definir as seguintes políticas como Desativadas, em vez daquela que mencionei primeiro, ou seja, deixe-as intactas:

Monitore a atividade de arquivos e programas em seu computador
Verifique todos os arquivos e anexos baixados
Ative o monitoramento de comportamento
Ative a proteção da rede contra explorações de vulnerabilidades conhecidas *
Ative notificações de gravação de volume bruto *
Ative o Controle de Proteção de Informações *

No entanto, desaconselho a desativação dos últimos 3 itens (marcados com um *). O seu impacto no desempenho também é mínimo.

Essas configurações de política podem ser encontradas no mesmo local que a primeira: Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
Observação:Algumas versões do Windows usam o termo “Endpoint Protection” em vez de “Windows Defender”.

Se a sua edição do Windows não vier com o Editor de Política de Grupo, definir algumas entradas de registro resolverá o problema. Eles estão todos localizados em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(crie esta chave se ela não existir). Crie as seguintes entradas DWORD (32 bits) e defina-as como 1:

DisableOnAccessProtection
Desativar proteção IOAV
Desativar monitoramento de comportamento
DesativarIntrusionPreventionSystem *
Desativar RawWriteNotification *
DesabilitarInformationProtectionControl *

Mais uma vez, recomendo não desabilitar os últimos 3 itens. Deixe-os como 0 ou, melhor ainda, não crie entradas para eles.

Uma reinicialização do sistema é necessária após fazer essas alterações.

Apenas para completar, a entrada do Registro para a política "Desativar proteção em tempo real" é chamada DisableRealtimeMonitoring.

[Atualização 2]Um adendo: o Malwarebytes Anti-Exploit (MBAE) geralmente éincompatívelcom o Microsoft Enhanced Mitigation Experience Toolkit (EMET). Até diz isso ao instalá-lo em um sistema protegido por EMET. Para ver por si mesmo, baixembae-test.exe daqui, adicione-o à lista de aplicativos protegidos por EMET e tente carregá-lo com o MBAE ativado.
(No entanto, se você usar o EMET apenas para impor regras em todo o sistema - ou seja, DEP e SEHOP - tudo bem. Somente ao iniciar um aplicativo protegido por ambas as soluções é que você deverá esperar problemas.)

Answer

O "Desative a proteção em tempo real"Configuração de Política de Grupo, localizada emConfiguração do Computador\Modelos Administrativos\Componentes do Windows\Windows Defenderdeve fazer o que quiser.

No meu sistema, entretanto, o Executável do Serviço Antimalware continua sendo gerado (e fecha instantaneamente) a cada 10 segundos ou mais quando esta política está habilitada. Muito chato, mas ainda nada comparado à lentidão geral do sistema causada pela verificação repetida de todos os arquivos da unidade.

Fique atento a esta minha pergunta relacionada:Como desabilitar a detecção baseada em assinatura sem desligar outras proteções no Windows Defender. Algo de interesse pode surgir.

[Atualizar] Usar o método acima resultará em um arquivo de log crescendo constantemente, localizado em C:\ProgramData\Microsoft\Windows Defender\Support, chamado MPLog-<datetime>.log.
Existe uma maneira de evitar que isso aconteça. Basta definir as seguintes políticas como Desativadas, em vez daquela que mencionei primeiro, ou seja, deixe-as intactas:

Monitore a atividade de arquivos e programas em seu computador
Verifique todos os arquivos e anexos baixados
Ative o monitoramento de comportamento
Ative a proteção da rede contra explorações de vulnerabilidades conhecidas *
Ative notificações de gravação de volume bruto *
Ative o Controle de Proteção de Informações *

No entanto, desaconselho a desativação dos últimos 3 itens (marcados com um *). O seu impacto no desempenho também é mínimo.

Essas configurações de política podem ser encontradas no mesmo local que a primeira: Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
Observação:Algumas versões do Windows usam o termo “Endpoint Protection” em vez de “Windows Defender”.

Se a sua edição do Windows não vier com o Editor de Política de Grupo, definir algumas entradas de registro resolverá o problema. Eles estão todos localizados em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(crie esta chave se ela não existir). Crie as seguintes entradas DWORD (32 bits) e defina-as como 1:

DisableOnAccessProtection
Desativar proteção IOAV
Desativar monitoramento de comportamento
DesativarIntrusionPreventionSystem *
Desativar RawWriteNotification *
DesabilitarInformationProtectionControl *

Mais uma vez, recomendo não desabilitar os últimos 3 itens. Deixe-os como 0 ou, melhor ainda, não crie entradas para eles.

Uma reinicialização do sistema é necessária após fazer essas alterações.

Apenas para completar, a entrada do Registro para a política "Desativar proteção em tempo real" é chamada DisableRealtimeMonitoring.

[Atualização 2]Um adendo: o Malwarebytes Anti-Exploit (MBAE) geralmente éincompatívelcom o Microsoft Enhanced Mitigation Experience Toolkit (EMET). Até diz isso ao instalá-lo em um sistema protegido por EMET. Para ver por si mesmo, baixembae-test.exe daqui, adicione-o à lista de aplicativos protegidos por EMET e tente carregá-lo com o MBAE ativado.
(No entanto, se você usar o EMET apenas para impor regras em todo o sistema - ou seja, DEP e SEHOP - tudo bem. Somente ao iniciar um aplicativo protegido por ambas as soluções é que você deverá esperar problemas.)

Question 2

Começando com oAtualização de maio de 2019 (versão 1903), o Windows 10 está introduzindo a Proteção contra Adulteração, que é um novo recurso projetado para proteger o aplicativo Segurança do Windows contra alterações não autorizadas que não são feitas diretamente por meio da experiência.

Embora seja uma adição bem-vinda que adiciona uma camada extra de proteção ao Windows 10, pode causar alguns problemas quando você precisa gerenciar as configurações de segurança por meio de outro aplicativo ou ferramentas de linha de comando, como PowerShell ou Prompt de Comando.

Isso inclui fazer alterações por meio da Política de Grupo!

Alterar a configuração de proteção contra adulteração

Na caixa de pesquisa da barra de tarefas, digite Segurança do Windows e selecione Segurança do Windows na lista de resultados. Na Segurança do Windows, selecione Proteção contra vírus e ameaças e, em Configurações de proteção contra vírus e ameaças, selecione Gerenciar configurações. Altere a configuração da Proteção contra adulteração para Ativado ou Desativado.

Em seguida, inicie o editor de política de grupo e desative os três serviços mencionados acima (embora eu ache que a verificação de downloads é útil e não afeta o desempenho) E uma nova configuração chamadaAtive a verificação de processos sempre que a proteção em tempo real estiver ativada. Execute gpupdate /force do CMD, não há necessidade de reinicializar.

Execute o Regedit e verifique se essas linhas foram adicionadas em [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]

"DisableBehaviorMonitoring"=dword:00000001 "DisableOnAccessProtection"=dword:00000001 "DisableScanOnRealtimeEnable"=dword:00000001 "DisableIOAVProtection" =dword:00000001

Se você não tiver acesso ao GPeditor, crie um script .reg contendo

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001

Aproveite seu sistema muito mais rápido. Também recomendo usarVerificação VThashutilitário para uma digitalização muito mais abrangente.

Answer

Começando com oAtualização de maio de 2019 (versão 1903), o Windows 10 está introduzindo a Proteção contra Adulteração, que é um novo recurso projetado para proteger o aplicativo Segurança do Windows contra alterações não autorizadas que não são feitas diretamente por meio da experiência.

Embora seja uma adição bem-vinda que adiciona uma camada extra de proteção ao Windows 10, pode causar alguns problemas quando você precisa gerenciar as configurações de segurança por meio de outro aplicativo ou ferramentas de linha de comando, como PowerShell ou Prompt de Comando.