[English]Microsoft hat die Möglichkeit für Administratoren, den in Windows enthaltenen Defender zu deaktivieren, jetzt deaktiviert. Dies soll es Malware erschweren, den Virenschutz abzuschalten. Gleichzeitig werden die betreffenden Registrierungseinträge und Gruppenrichtlinien wirkungslos.
Anzeige
Ich hatte es bereits die Tage bei den Kollegen von deskmodder.de mitbekommen die in diesem Beitrag berichteten, dass der Eintrag DisableAntiSpyware in den Einstellungen des Microsoft Defender seit August 2020 nicht mehr wirke. Dort konnte ich mir keinen wirklichen Reim drauf machen – erst mit dem Artikel bei Dr. Windows habe ich dann mitbekommen, dass sich etwas beim Microsoft Defender unter Windows 10 geändert habe. Martin wies auf widersprüchliche Hinweise im Supportbeitrag hin. Nun hat mich Blog-Leser Andreas E. über Facebook noch auf das Thema aufmerksam gemacht (danke dafür):
Achja: Der Defender AV kann nicht mehr via GPO auf Windows 10 Clients deaktiviert werden. Dies hat Microsoft it dem aktuellen Patchday an alle W10 Clients ausgerollt!!
Dies bedeutet 3rd Party AVs MÜSSEN zwingend die von MS bereitgestellten APIs nutzen um sich sauber zu registrieren. Ansonsten wird es zu Komplikationen kommen!
Andreas hatte dann noch den Link auf den Microsoft-Supportbeitrag DisableAntiSpyware gepostet. Der Beitrag wurde am 21.8.2020 aktualisiert, und enthält folgenden Hinweis:
DisableAntiSpyware is intended to be used by OEMs and IT Pros to disable Microsoft Defender Antivirus and deploy another antivirus product during deployment. This is a legacy setting that is no longer necessary as Microsoft Defender antivirus automatically turns itself off when it detects another antivirus program. This setting is not intended for consumer devices, and we've decided to remove this registry key. This change is included with Microsoft Defender Antimalware platform versions 4.18.2007.8 and higher KB 4052623. Enterprise E3 and E5 editions will be released at a future date. Note that this setting is protected by tamper protection. Tamper protection is available in all Home and Pro editions of Windows 10 version 1903 and higher and is enabled by default. The impact of the DisableAntiSpyware removal is limited to Windows 10 versions prior to 1903 using Microsoft Defender Antivirus. This change does not impact third party antivirus connections to the Windows Security app. Those will still work as expected.
Die Option DisableAntiSpyware war eigentlich für OEMs und IT-Professionals gedacht, um den Microsoft Defender Antivirus (auf Servern, wie weiter unten im Text des Supportbeitrags steht) abzuschalten, wenn andere Antivirus-Produkte installiert wurden. Die Option war aber nie für die Consumer-Plattformen (Windows 10 Home und Pro) vorgesehen. Microsoft hat nun aber beschlossen, dass diese Option in der Registrierung überflüssig sei. Denn der Defender erkennt, wenn eine andere Antivirus-Software sich über die vorgesehene API registriert und schaltet sich dann selbst ab.
Microsoft hat daher die Auswertung des Registrierungsschlüssels zum Deaktivieren des Defenders ab der Microsoft Defender Antimalware Platform Version 4.18.2007.8 und höher über das Update KB4052623 entfernt. Damit wir der Schlüssel:
Anzeige
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
und der dort eventuell vorhandene Wert DisableAntiSpyware nicht mehr wirksam (solange Tamper Protection eingeschaltet ist, siehe auch den Kommentar von Bernhard). Auch Gruppenrichtlinien ('Turn off Microsoft Defender Antivirus'), die über diesen Wert den Defender deaktivieren sollen, wirken dann nicht mehr. Das Abschalten des Defender durch Malware konnte ja seit Windows 10 Version 1903 durch den Manipulationsschutz (Tamper Protection) unterbunden werden.
Bleeping Computer berichtet hier, dass Malware zwar den Registrierungseintrag DisableAntiSpyware setzen kann. Dieser Wert wird jedoch durch den Manipulationsschutz entfernt. Allerdings bleibt der Defender jedoch für die aktuelle Sitzung weiterhin deaktiviert.
Der Microsoft-Supportbeitrag enthält aber widersprüchliche Informationen – der Textkasten am Anfang weist auf Clients hin, während im Text die Info steht, dass der Registrierungseintrag nur für Server gelte. Zudem kann der Defender weiterhin mit 'defender control' von sordum deaktiviert werden – siehe nachfolgende Kommentare.
Ähnliche Artikel:
Windows 10 V1903 mit Windows Defender Tamper-Protection
Tamper Protection auf ältere Windows 10-Versionen portiert
Windows 10 V1903: Microsoft aktiviert Tamper Protection
Anzeige
Leicht OFF TOPIC, dennoch passend zum Thema … wer den Defender mal kurz oder dauerhaft bequem an-/abschalten möchte: https://www.sordum.org/9480/defender-control-v1-6
yo, viel Lärm um wenig.
Defender mit 'defender control' (sordum.org) weiter abschaltbar.
Wäre passender gewesen.
Klar, die Admins in Firmen holen sich das Zeug auf die Maschinen …
wer muss denn in FIRMEN (!) den defender abschalten, normale user nicht, niemals, die sollen das gar nicht. Der admin schon mal eher, aber der kann defender control auf nem stick mitnehmen. Seh da jetzt eig. kein Prob.
Wenn der Admin seine Netze nicht ohne Defender sauber halten kann, tut er mir Leid :)
Die Turnschuhadministratoren aus der Nachbarschaft machen das sicherlich. :D
… und alle Anderen kriegen von der Geschäftsleitung via BSI einen auf die Nüsse.
guest introspection? schon mal gehört?
Das Problem bei mir ist, der Defender lässt ja nichtmal den "Defender Control" öffnen…
Und über die Einstellungen lässt er sich nicht, auch nicht vorübergehend, abschalten. Habe außerdem ESET, welches den Defender ersetzen sollte. Aber der Müll ist simultan aktiviert und schaltet sich ein sobald ich den "Control" öffnen möchte.
Gibts da eine möglichkeit den Dreck zu umgehen ?
PS: Kriege ich eine Email, wenn mir geantwortet wird ? Wenn nicht bitte ich darum mir eine PN zu schreiben "****", Lg"
Du wirst schon hier im Blog vorbei kommen und nachschauen müssen, ob jemand geantwortet hat. Die Mail-Adresse wurde aus DSGVO-Gründen gefiltert. Und aus den gleichen Gründen habe ich auch keine Benachrichtigungen oder PMs eingeführt.
Bruder, danke für den Hinweis! Diese Shice Ding erst mal kastriert :) Einsparung in der CPU sofort bemerkbar. Gerade auf meinem alten Daddelgerät
Moin,
der Dr. Windows-Link ist irgendwie defekt; er leitet auf hxxp://r/
Viele Grüße
Ist korrigiert – bin an der Tastatur eingeschlafen und habe es erst nach 6 Stunden gemerkt … ;-)
Dann werde ich jetzt wohl die Holzhammer-Methode verwenden und für meine Testx/Bastel-VMs die Dienste (Sense, WdBoot, WdFilter, WdNisDrv, WdNisSrv, WinDefend) im abgesicherten Modus via regedit abschalten (Start=dword:00000004) sowie die Aufgaben in der Aufgabenplanung deaktivieren…
Viele Grüße
Wieso nicht einfach deinstallieren über dism?
Ah das geht?
Ich glaube mich zu erinnern das ging nur bei windows server.
Also ich meine in einem instaliertem windows,
das man es aus nem image bekommen kan klaar..
Meines Wissens geht das nur bei den Server-Editionen ohne größere Basteleien…
Oder täusche ich mich gerade?
Viele Grüße
Da wird noch mehr kommen…Bald wird man den Cloudbasierten Schutz und entsprechend die automatische Übermittlung von Beispielen auch nicht mehr deaktivieren können.
Und wenn persönliche Daten mit übertragen werden…So what, dient ja alles der Sicherheit und man bekommt ja (angeblich) eine Meldung. ;)
Schon lange nerven diese Funktionen und wollen permanent aktiviert werden, dabei reicht der Scanner vollkommen, es gibt permanent frische Virendefinitionen, und ich möchte nichts mit der Cloud oder Datenerhebung zu tun haben.
Ich habe ja nichts gegen den Defender und finde es auch gut, das er standardmässig aktiv ist. Es gibt und gab aber auch genügend Beispiele, wo es Probleme gab und man ihn deaktivieren musste.
So ist das mit den Zwangsupdates, Microsoft kann inzwischen machen, was es will. Gibt ja sowieso keine Behörde, die sich für irgend etwas interessiert, was Microsoft macht.
Die Pro Version ist dahingehend in meinen Augen sowieso keine echte "Pro" mehr und total beschnitten und verkrüppelt durch Microsoft. Was nützen einem die Gruppenrichtlinien in der Pro einem Kleinunternehmen, wenn man sowieso alles wichtige inzwischen mit mehr administrieren kann ? Die Pro gibt faktisch es nur noch auf dem Papier, und ist zur Enterprise "mutiert". Und die kann sich kein Kleinunternehmer leisten.
Glashaus pur, die angebliche Verbesserung bei den Einstellungen zum Datenschutz in Windows können sie sich sparen, bei der Home und Pro weiss eh kein Mensch was im Hintergrund übertragen wird, und deaktivierbar ist die Telemetrie sowieso nicht.
… bevor ich nach längerer Pause… online Arbeite, einmal vorher via Klick(Tray) die aktuellen Definitionen holen – und gut! Da braucht es keine permanente Cloud-Schnüffelfunktion…
Bei öffentlich zugänglichen oder Firmenrechnern kann man eine solche Vorgehensweise natürlich nicht erwarten – da ist im Zweifelsfall der Abgleich mit aktuellen Cloud-Informationen durchaus sinnvoll.
Bin der gleichen Meinung! Der Defender an sich, ist schon OK, aber das ganze Cloudgedöhns, geht mir gehörig gegen den Strich. Denke schon eine ganze Weile darüber nach, mir ein Pi-hole zuzulegen. Aber schon wieder ein System was gepflegt werden will. Echt ätzend.
Und was mache ich, wenn ich kurzzeitig den Echtzeitschutz deaktivieren möchte? Soll ich das Teil dann gleich deinstallieren?
Das Administrieren und Benutzen von PCs wird auch immer mehr eine Plage.
Vermutlich dann wie immer mit den entsprechenden Rechten?
TRAY-ICON/"Sicherheitsdashboard anzeigen"/"Viren- & Bedrohungsschutz"/"Einstellungen für Viren- & Bedrohungsschutz"/Echtzeitschutz [AUS]
Schaltet sich aber automatisch nach Neustart und nach gewisser Zeit wieder ein!
Man muss jetzt etwas installieren, um den Defender deaktivieren zu können. Entweder das Tool Defender Control oder ein 3rd Party AV-Programm.
Ich fürchte, dass sich MS mit diesem Schritt selbst in Knie schießt, weil Leute, die aus irgendwelchen Gründen das AV deaktivieren, wenn auch nur temporär und auf ihre Gewohnheiten nicht verzichten wollen, über Alternativen nachdenken.
Noch eine gute Nachricht: Das scheint wirklich nur Windows 10 zu betreffen, bei Windows Server 2019 blieb der Defender deaktiviert. Smartscreen hab ich ebenfalls deaktiviert, da allerdings noch zusätzlich rigoros über Dateirechte.
Also noch ein weiteres Zeichen das es zeit ist Windows 10 adieu zusagen,
bzw für die Leute die das nicht können, auf Windows Server umzusteigen.
David X.
Da tut sich aber unter Umständen ein neues Problem auf: Nicht jede Softwarevariante läuft unter einer Server-Version. Oft ist das bei kostenlosen oder Home Varianten so. Da müsste man dann die oft weitaus teurere Server-Variante kaufen.
Oder sich ein loader schreiben der eine andere Version zurückgiebt.
Die Angaben sind falsch.
Sobald Tamper Protection ausgeschaltet ist, wirkt weiterhin sowohl der Registrywert, als auch die GPO. Getestet auf 19041.450
Frage ist, ob auch das Anti-Malware Engine Update 4.18.2007.8 installiert ist.
Link in den Update-Katalog: http://www.catalog.update.microsoft.com/Search.aspx?q=89cc95b6-2a85-4c3f-a6b0-82328506c4f9
Schau in den Katalog – die Version 4.18.2007.8 gibt es seit dem 4. August. Ich habe sie laut Eventlog seit dem 6. August drauf. Dennoch konnte ich noch gestern per GPO den Defender abschalten (der Regeintrag tut nichts anderes) – kontrolliert mit erfolgreicher Abspeicherung von eicar.com. Und heute? Da geht es nicht mehr! Wo haben Sie nachgeflickt? Keine Ahnung, die Version steht weiterhin auf dem selben Stand.
Pardon, wird eicar.com überhaupt noch vom Defender erfasst? Mir war so, das das 'rausgefolgen ist.
Dieses Testmuster "läuft" doch unter 64bit eh nicht mehr, so die Begründung. Außerdem: Wer will sich schon gerne kontrollieren lassen? Ich hatte das drin um sicherzustellen, das der Scanner wirklich (nicht) an ist.
In meiner Anwendung kann ich keinen Virusscanner brauchen, der Rechenzeit kostet und evtl eine Benutzer Interaktion erfordert und sowieso nie neue Signaturen bekommt, mangels Internet-Verbindung.
Zumindest die MSE erkennen Eicar noch.
Selbst mit eingeschalteter "t^Hpamper protection" kann Otto Normalmissbraucher den Aufruf des Defender unterbinden: siehe
https://skanthak.homepage.t-online.de/offender.html
Viel Wind um nix, oder? Der Artikel ist auch nicht korrekt… und die Quellen scheinen auch schneller "Drama" zu denken statt mal ein bisschen nachzulesen…
Defender lässt sich ganz einfach – auch per GPO – dauerhaft deaktivieren. Selbst mit dem neuesten Win10 (20H2) geht das noch ganz problemlos.
Es muss lediglich der Manipulationsschutz LOKAL und PER GUI deaktiviert werden.
Das ist übrigens schon länger so und auch bei MS so dokumentiert.
Letztes Update am 5.6.2019(!) : https://support.microsoft.com/de-de/help/4490103/windows-10-prevent-changes-to-security-settings-with-tamper-protection
Es gibt eben keinen remote ausführbaren Weg, den Manipulationsschutz zu deaktiveren – das ist Teil des Sicherheitskonzepts der MS Defender-Lösung. Daher greifen GPOs und Registry-Keys eben nicht, solange dieser noch aktiviert ist.
PS: in dem verlinkten MS-Dokument steht sogar explizit drinne, dass diese Änderung NUR Server betrifft, keine Client-Devices… (farbiger Kasten unten) https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/security-malware-windows-defender-disableantispyware?fbclid=IwAR1cZlpwxyZOLD5vzLB8BYdVqeIGzaq8joRwOGaFs_fAlOn8HH3hu2uL97w
Ein paar Experimente später komme ich zu folgenden Ergebnissen:
Umgebung: Windows 10 2004 (19041.450); Windows Defender Engine 4.18.1909.6 (ohne Update), 4.18.2005.5 bzw, 4.18.2007.8; Gesamtsystem in einer VM und vollständig offline, Updates wurden mittels MSU-Dateien und UpdatePlatform_*.exe installiert
4.18.1909.6 -> Setzen von "DisableAntiSpyware" deaktiviert die gesamte Virenschutz-Seite als "von der Organisation deaktiviert"
4.18.2005.5 -> verhält sich identisch zu 4.18.1909.6
4.18.2007.8 -> Seite wird normal aufgebaut; die "Echtzeitschutz"-Einstellung verhält sich wie ohne Richtlinie (Auto-Reaktivierung nach Neustart, …); Richtlinie wird ignoriert
Eine etwas komplexere Richtlinie, die weitere Werte setzt (DisableRoutinelyTakingAction, AllowCloudProtection, DisableBehaviorMonitoring, DisableOnAccessProtection, DisableScanOnRealtimeEnable, DisableRealtimeMonitoring, SpyNetReporting, SubmitSamplesConsent in diversen Unterschlüsseln des "Policies"-Schlüssels) sperrt die einzelnen Einstellung in einem kurzen Experiment trotzdem; der Echtzeitschutz wird auch nicht automatisch wieder eingeschaltet.
Das gesamte Verhalten zeigt sich jedoch nicht konsistent. Teilweise verhält sich die 4.18.2007.8 auch wie die 4.18.2005.5 (vollständige Deaktivierung), teilweise wird auch die komplexere Richtlinie ignoriert. Es scheint mir aktuell so, dass dies davon abhängt, ob die Werte gesetzt werden, nachdem das Update auf 4.18.2007.8 durchgeführt wurde oder sie bereits vorher vorhanden waren.
Ich kann zur Zeit leider nicht weiter testen, würde aber die Links zu der UpdatePlatform_*.exe für die 4.18.2005.5 und 4.18.2007.8 zur Verfügung stellen.
Viele Grüße
In einer VDI Umgebung mit agentlosem Endpointschutz sollte der Defender schon abschaltbar sein ….
Jep.. Kenne das Problem.
Eventuell das hier(?):
Aaron sagt:
22. August 2020 um 12:49
Viel Wind um nix, oder? Der Artikel ist auch nicht korrekt… und die Quellen scheinen auch schneller „Drama" zu denken statt mal ein bisschen nachzulesen…
Defender lässt sich ganz einfach – auch per GPO – dauerhaft deaktivieren. Selbst mit dem neuesten Win10 (20H2) geht das noch ganz problemlos.
Es muss lediglich der Manipulationsschutz LOKAL und PER GUI deaktiviert werden.
Das ist übrigens schon länger so und auch bei MS so dokumentiert.
Letztes Update am 5.6.2019(!) : https://support.microsoft.com/de-de/help/4490103/windows-10-prevent-changes-to-security-settings-with-tamper-protection
Es gibt eben keinen remote ausführbaren Weg, den Manipulationsschutz zu deaktiveren – das ist Teil des Sicherheitskonzepts der MS Defender-Lösung. Daher greifen GPOs und Registry-Keys eben nicht, solange dieser noch aktiviert ist.
PS: in dem verlinkten MS-Dokument steht sogar explizit drinne, dass diese Änderung NUR Server betrifft, keine Client-Devices… (farbiger Kasten unten) https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/security-malware-windows-defender-disableantispyware?fbclid=IwAR1cZlpwxyZOLD5vzLB8BYdVqeIGzaq8joRwOGaFs_fAlOn8HH3hu2uL97w
Warum nicht einfach eine Fake-EXE mit Batch-To-EXE erstellen und die dann unter Windows als AV-Alternative registrieren?
Dann schaltet Windows automatisch alles ab.
Gibt es keinen fertigen Fake/Dummy Anti Virus? Da muss doch irgendjemand schon was gebastelt haben. Ich benötige etwas für eine VM, die sicher keinen Virenschutz braucht, aber sicher auch keinen dauerhaften Scan von Dateibewegungen. Gruß
in der Version 20H2 19042.746 nach ersten Test wieder möglich !