Защитник Windows: отключить сканирование в режиме реального времени; продолжить сканирование по расписанию и по требованию

Question 1

"Отключить защиту в реальном времени"Настройка групповой политики, расположенная в разделеКонфигурация компьютера\Административные шаблоны\Компоненты Windows\Защитник Windowsдолжен делать то, что хочешь.

Однако в моей системе исполняемый файл Antimalware Service Executable продолжает появляться (и мгновенно закрываться) каждые 10 секунд или около того, когда эта политика включена. Очень раздражает, но все равно ничто по сравнению с более общим замедлением системы, вызванным сканированием каждого файла на вашем диске снова и снова.

Обратите внимание на мой вопрос по этой теме:Как отключить обнаружение на основе сигнатур, не отключая другие средства защиты в Защитнике Windows. Может получиться что-то интересное.

[Обновлять] Использование вышеуказанного метода приведет к постоянному росту файла журнала., расположенный в C:\ProgramData\Microsoft\Windows Defender\Support, называется MPLog-<datetime>.log.
Есть способ предотвратить это. Просто установите следующие политики на Disabled вместо той, которую я упомянул первой, т.е. оставьте ее нетронутой:

Отслеживайте активность файлов и программ на вашем компьютере
Сканировать все загруженные файлы и вложения
Включить мониторинг поведения
Включить защиту сети от использования известных уязвимостей *
Включить уведомления о записи необработанного тома *
Включить контроль защиты информации *

Однако я бы не советовал отключать последние 3 пункта (отмечены *). Их влияние на производительность также минимально.

Эти параметры политики можно найти в том же месте, что и первый: Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
Примечание:В некоторых версиях Windows вместо «Защитник Windows» используется термин «Endpoint Protection».

Если ваша версия Windows не оснащена редактором групповой политики, настройка некоторых записей реестра сделает свое дело. Они все находятся в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(создайте этот ключ, если он не существует). Создайте следующие записи DWORD (32-бит) и установите их на 1:

ОтключитьЗащитуПриДоступе
Отключить IOAVProtection
ОтключитьМониторингПоведения
Отключитьсистемупредотвращениявторжений*
Отключить уведомление RawWrite *
ОтключитьУправлениеЗащитойИнформации *

Опять же, я не рекомендую отключать последние 3 пункта. Оставьте их на 0, или еще лучше, не создавайте для них записи.

После внесения этих изменений потребуется перезагрузка системы.

Для полноты картины запись реестра для политики «Отключить защиту в реальном времени» называется DisableRealtimeMonitoring.

[Обновление 2]Дополнение: Malwarebytes Anti-Exploit (MBAE) обычнонесовместимыйс Microsoft Enhanced Mitigation Experience Toolkit (EMET). Он даже говорит об этом при установке на защищенную EMET систему. Чтобы убедиться в этом, скачайтеmbae-test.exe отсюда, добавьте его в список приложений, защищенных EMET, и попробуйте загрузить его с включенным MBAE.
(Однако, если вы используете EMET только для обеспечения соблюдения общесистемных правил, т. е. DEP и SEHOP, это нормально. Проблемы следует ожидать только при запуске приложения, защищенного обоими решениями.)

Answer

"Отключить защиту в реальном времени"Настройка групповой политики, расположенная в разделеКонфигурация компьютера\Административные шаблоны\Компоненты Windows\Защитник Windowsдолжен делать то, что хочешь.

Однако в моей системе исполняемый файл Antimalware Service Executable продолжает появляться (и мгновенно закрываться) каждые 10 секунд или около того, когда эта политика включена. Очень раздражает, но все равно ничто по сравнению с более общим замедлением системы, вызванным сканированием каждого файла на вашем диске снова и снова.

Обратите внимание на мой вопрос по этой теме:Как отключить обнаружение на основе сигнатур, не отключая другие средства защиты в Защитнике Windows. Может получиться что-то интересное.

[Обновлять] Использование вышеуказанного метода приведет к постоянному росту файла журнала., расположенный в C:\ProgramData\Microsoft\Windows Defender\Support, называется MPLog-<datetime>.log.
Есть способ предотвратить это. Просто установите следующие политики на Disabled вместо той, которую я упомянул первой, т.е. оставьте ее нетронутой:

Отслеживайте активность файлов и программ на вашем компьютере
Сканировать все загруженные файлы и вложения
Включить мониторинг поведения
Включить защиту сети от использования известных уязвимостей *
Включить уведомления о записи необработанного тома *
Включить контроль защиты информации *

Однако я бы не советовал отключать последние 3 пункта (отмечены *). Их влияние на производительность также минимально.

Эти параметры политики можно найти в том же месте, что и первый: Computer Configuration\Administrative Templates\Windows Components\Windows Defender.
Примечание:В некоторых версиях Windows вместо «Защитник Windows» используется термин «Endpoint Protection».

Если ваша версия Windows не оснащена редактором групповой политики, настройка некоторых записей реестра сделает свое дело. Они все находятся в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection(создайте этот ключ, если он не существует). Создайте следующие записи DWORD (32-бит) и установите их на 1:

ОтключитьЗащитуПриДоступе
Отключить IOAVProtection
ОтключитьМониторингПоведения
Отключитьсистемупредотвращениявторжений*
Отключить уведомление RawWrite *
ОтключитьУправлениеЗащитойИнформации *

Опять же, я не рекомендую отключать последние 3 пункта. Оставьте их на 0, или еще лучше, не создавайте для них записи.

После внесения этих изменений потребуется перезагрузка системы.

Для полноты картины запись реестра для политики «Отключить защиту в реальном времени» называется DisableRealtimeMonitoring.

[Обновление 2]Дополнение: Malwarebytes Anti-Exploit (MBAE) обычнонесовместимыйс Microsoft Enhanced Mitigation Experience Toolkit (EMET). Он даже говорит об этом при установке на защищенную EMET систему. Чтобы убедиться в этом, скачайтеmbae-test.exe отсюда, добавьте его в список приложений, защищенных EMET, и попробуйте загрузить его с включенным MBAE.
(Однако, если вы используете EMET только для обеспечения соблюдения общесистемных правил, т. е. DEP и SEHOP, это нормально. Проблемы следует ожидать только при запуске приложения, защищенного обоими решениями.)

Question 2

Начиная сОбновление за май 2019 г. (версия 1903)В Windows 10 представлена защита от несанкционированного доступа — новая функция, предназначенная для защиты приложения «Безопасность Windows» от несанкционированных изменений, которые не вносятся напрямую через интерфейс.

Хотя это приятное дополнение, добавляющее дополнительный уровень защиты в Windows 10, оно может вызвать некоторые проблемы, когда вам нужно управлять параметрами безопасности через другое приложение или инструменты командной строки, такие как PowerShell или командная строка.

Это включает в себя внесение изменений через групповую политику!

Измените настройку защиты от несанкционированного доступа

В поле поиска на панели задач введите Безопасность Windows, а затем выберите Безопасность Windows в списке результатов. В Безопасности Windows выберите Защита от вирусов и угроз, а затем в разделе Параметры защиты от вирусов и угроз выберите Управление параметрами. Измените настройку Защита от несанкционированного доступа на Вкл или Выкл.

Затем запустите редактор групповой политики и отключите три вышеупомянутые службы (хотя я думаю, что сканирование загрузок полезно и не влияет на производительность) и новый параметр под названиемВключайте сканирование процессов всякий раз, когда включена защита в реальном времени.. Запустите gpupdate /force из CMD, перезагрузка не нужна.

Запустите Regedit и проверьте, добавлены ли эти строки в [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]

"DisableBehaviorMonitoring" = dword: 00000001 "DisableOnAccessProtection" = dword: 00000001 "DisableScanOnRealtimeEnable" = dword: 00000001 "DisableIOAVProtection" = dword: 00000001

Если у вас нет доступа к GPeditor, создайте .reg-скрипт, содержащий

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001

Наслаждайтесь вашей гораздо более быстрой системой. Также я рекомендую использоватьПроверка VThashутилита для более комплексного сканирования.

Answer

Начиная сОбновление за май 2019 г. (версия 1903)В Windows 10 представлена защита от несанкционированного доступа — новая функция, предназначенная для защиты приложения «Безопасность Windows» от несанкционированных изменений, которые не вносятся напрямую через интерфейс.

Хотя это приятное дополнение, добавляющее дополнительный уровень защиты в Windows 10, оно может вызвать некоторые проблемы, когда вам нужно управлять параметрами безопасности через другое приложение или инструменты командной строки, такие как PowerShell или командная строка.