9月2日消息:微软已经确认他们不再允许通过Win10注册表禁用Microsoft Defender以支持篡改保护安全功能。在Win10 1903发行时,它引入了一项称为防篡改的新安全功能,可以防止Windows安全和Microsoft Defender设置在Windows界面之外更改。
这包括命令行工具,注册表更改或组策略。
Microsoft Defender不再可以通过注册表禁用
Windows用户历来能够使用“关闭Microsoft Defender防病毒”组策略来禁用Microsoft Defender。
关闭Microsoft Defender防病毒组策略
启用后,将在HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows Defender项下创建“ DisableAntiSpyware”注册表值并将其设置为1。
本月初,我们报告Microsoft Defender将不再接受此注册表值,因为它不再需要它,并且防篡改无论如何都会对其进行保护。
“这是一个旧设置,不再需要,因为Microsoft Defender防病毒软件在检测到另一个防病毒程序时会自动关闭自身。”
Microsoft已在DisableAntiSpyware的支持文档中添加了内容。
故事的更多内容
微软的说法并非全部,因为BleepingComputer进行的广泛测试表明,即使启用了篡改保护功能,DisableAntiSpyware Registry值仍然可以短暂工作。
启用后,如果恶意软件重新启动了计算机,则该特定会话将禁用Microsoft Defender。下次重新启动时,防篡改功能将启动并再次启用Windows Defender。
Microsoft Defender被DisableAntiSpyware值禁用
但是,这种短暂的保护失效是恶意软件渗透到Windows计算机所需的全部。
我们已经报道了很多疾病,包括TrickBot,Novter,马蹄声勒索,仙境传说勒索,并AVCrypt勒索谁已通过“DisableAntiSpyware”注册表值,禁用它专门针对微软后卫。
因此,BleepingComputer认为Microsoft不仅删除了此策略,因为它并不需要它,而且还可以防止攻击者利用篡改保护中的这一短暂漏洞。
微软确认这不是全部
在Windows 10消息中心的更新中,Microsoft已经确认我们怀疑DisableAntiSpyware策略现在被忽略以支持篡改保护。
通过弃用DisableAntiSpyware支持防篡改
Microsoft Defender防病毒篡改保护默认情况下,所有消费者Windows 10设备都处于打开状态。此功能可保护设备免受试图禁用内置安全解决方案(例如防病毒保护)的网络攻击,从而试图访问您的数据,安装恶意软件或以其他方式利用您的数据,身份和设备。由于Microsoft Defender防病毒软件在检测到另一个防病毒程序时会自动关闭自身,因此我们将删除名为DisableAntiSpyware的旧式注册表设置。打算由OEM和IT管理员用来禁用Microsoft Defender Antivirus以便在部署期间部署另一防病毒产品,DisableAntiSpyware不适用于消费类设备,将从Microsoft Defender Antimalware平台4.18.2007.8及更高版本开始删除。KB4052623有关详细信息)。此更新将在将来发布到运行Windows Enterprise E3和E5的设备上。
删除DisableAntiSpyware策略后,恶意软件将无法再利用TamperProtection的弱点,并且只有通过Windows设置或安装其他防病毒软件才能禁用Microsoft Defender。
相关文章
微软确认无法通过注册表禁用Windows Defender
2020-09-02万彩动画大师如何自定义动画移动路径?
2021-12-20CAD快速看图如何转换t3格式?CAD快速看图转换t3格式的技巧
2021-11-05VirtualBox虚拟机安装图文教程
2020-09-02美图秀秀把一张图片放到另外一张图片上的技巧
2022-01-11Coreldraw2019激活码 Cdr序列号分享
2020-07-08图虫如何下载图片?图虫下载图片教程
2021-06-04火绒安全软件粉碎文件的技巧
2021-12-27极速PDF编辑器插入/删除页面的方法
2020-09-09文档如何添加批注?腾讯会议文档添加批注的方法
2021-11-18