Windows Defender：停用即時；保持計劃和按需掃描

Question 1

這 ”關閉即時保護「群組原則設置，位於電腦設定\管理範本\Windows 元件\Windows Defender應該做你想做的事。

然而，在我的系統中，啟用此策略後，反惡意軟體服務執行檔會每隔 10 秒左右產生一次（並立即關閉）。非常煩人，但與一遍又一遍掃描驅動器上的每個檔案所導致的更普遍的系統速度相比，仍然算不了什麼。

請關注我的這個相關問題：如何停用基於簽章的偵測而不關閉 Windows Defender 中的其他保護。可能會出現一些有趣的東西。

[更新] 使用上述方法會導致日誌檔案不斷增長，位於C:\ProgramData\Microsoft\Windows Defender\Support，稱為MPLog-<datetime>.log。
有一種方法可以防止這種情況發生。只需將以下策略設為停用，而不是我第一次提到的策略，即保持不變：

監視電腦上的文件和程式活動
掃描所有下載的文件和附件
開啟行為監控
開啟網路保護以防止利用已知漏洞 *
開啟原始卷寫入通知 *
打開資訊保護控制*

不過，我建議不要停用最後 3 項（標示 *）。它們對性能的影響也很小。

這些策略設定可以在與第一個策略設定相同的位置找到：Computer Configuration\Administrative Templates\Windows Components\Windows Defender。
筆記：某些版本的 Windows 使用術語「端點保護」而不是「Windows Defender」。

如果您的 Windows 版本未附帶群組原則編輯器，設定一些註冊表項就可以了。它們都位於HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection（如果不存在則建立此密鑰）。建立以下 DWORD（32 位元）條目並將它們設為 1：

停用訪問保護
禁用IOAV保護
停用行為監控
禁用入侵防禦系統 *
禁用RawWriteNotification *
停用資訊保護控制 *

我再次建議不要停用最後 3 項。將它們保留為 0，或者更好的是，不要為它們建立條目。

進行這些變更後需要重新啟動系統。

為了完整起見，「關閉即時保護」策略的註冊表項稱為DisableRealtimeMonitoring。

[更新2]附錄：Malwarebytes Anti-Exploit (MBAE) 通常是不相容使用 Microsoft 增強緩解體驗工具包 (EMET)。甚至在將其安裝在受 EMET 保護的系統上時也是如此。要親自查看，請下載mbae-測試.exe 從這裡，將其添加到受 EMET 保護的應用程式清單中，並嘗試在啟用 MBAE 的情況下載入它。
（但是，如果您只使用 EMET 來執行系統範圍的規則 - 即 DEP 和 SEHOP - 那就沒問題。只有在啟動受這兩種解決方案保護的應用程式時，您才會遇到麻煩。）

Answer

這 ”關閉即時保護「群組原則設置，位於電腦設定\管理範本\Windows 元件\Windows Defender應該做你想做的事。

然而，在我的系統中，啟用此策略後，反惡意軟體服務執行檔會每隔 10 秒左右產生一次（並立即關閉）。非常煩人，但與一遍又一遍掃描驅動器上的每個檔案所導致的更普遍的系統速度相比，仍然算不了什麼。

請關注我的這個相關問題：如何停用基於簽章的偵測而不關閉 Windows Defender 中的其他保護。可能會出現一些有趣的東西。

[更新] 使用上述方法會導致日誌檔案不斷增長，位於C:\ProgramData\Microsoft\Windows Defender\Support，稱為MPLog-<datetime>.log。
有一種方法可以防止這種情況發生。只需將以下策略設為停用，而不是我第一次提到的策略，即保持不變：

監視電腦上的文件和程式活動
掃描所有下載的文件和附件
開啟行為監控
開啟網路保護以防止利用已知漏洞 *
開啟原始卷寫入通知 *
打開資訊保護控制*

不過，我建議不要停用最後 3 項（標示 *）。它們對性能的影響也很小。

這些策略設定可以在與第一個策略設定相同的位置找到：Computer Configuration\Administrative Templates\Windows Components\Windows Defender。
筆記：某些版本的 Windows 使用術語「端點保護」而不是「Windows Defender」。

如果您的 Windows 版本未附帶群組原則編輯器，設定一些註冊表項就可以了。它們都位於HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection（如果不存在則建立此密鑰）。建立以下 DWORD（32 位元）條目並將它們設為 1：

停用訪問保護
禁用IOAV保護
停用行為監控
禁用入侵防禦系統 *
禁用RawWriteNotification *
停用資訊保護控制 *

我再次建議不要停用最後 3 項。將它們保留為 0，或者更好的是，不要為它們建立條目。

進行這些變更後需要重新啟動系統。

為了完整起見，「關閉即時保護」策略的註冊表項稱為DisableRealtimeMonitoring。

[更新2]附錄：Malwarebytes Anti-Exploit (MBAE) 通常是不相容使用 Microsoft 增強緩解體驗工具包 (EMET)。甚至在將其安裝在受 EMET 保護的系統上時也是如此。要親自查看，請下載mbae-測試.exe 從這裡，將其添加到受 EMET 保護的應用程式清單中，並嘗試在啟用 MBAE 的情況下載入它。
（但是，如果您只使用 EMET 來執行系統範圍的規則 - 即 DEP 和 SEHOP - 那就沒問題。只有在啟動受這兩種解決方案保護的應用程式時，您才會遇到麻煩。）

Question 2

從2019 年 5 月更新（版本 1903）Windows 10 引入了篡改保護，這是一項新功能，旨在保護 Windows 安全應用程式免受非直接透過體驗進行的未經授權的更改。

雖然這是一個受歡迎的附加功能，為Windows 10 添加了額外的保護層，但當您需要透過其他應用程式或命令列工具（例如PowerShell 或命令提示字元）管理安全性設定時，它可能會導致一些問題。

這包括透過群組原則進行更改！

更改防篡改設定

在工作列上的搜尋框中，鍵入“Windows 安全性”，然後在結果清單中選擇“Windows 安全性”。在“Windows 安全性”中，選擇“病毒和威脅防護”，然後在“病毒和威脅防護設定”下，選擇“管理設定”。將防篡改設定變更為開或關。

然後啟動群組原則編輯器並停用上述三個服務（儘管我認為掃描下載很有用且不會影響效能）和一個名為每當啟用即時保護時就開啟進程掃描。從 CMD 執行 gpupdate /force，無需重新啟動。

執行Regedit並檢查這些行是否已新增至[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]中

“DisableBehaviorMonitoring”=dword：00000001 “DisableOnAccessProtection”=dword：00000001 “DisableScanOnRealtimeEnable”=dword：00000001 “DisableIOAVProtection”=dword：0000001

如果您無法存取 GPeditor，請建立一個包含以下內容的 .reg 腳本

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001

享受更快的系統。我也推薦使用VThash檢查用於更全面掃描的實用程式。

Answer