[English]Ich greife mal ein Problem auf, welches Administratoren, die Clients auf Windows 11 umstellen tangieren dürfte. In manchen Szenarien kommt es dazu, dass Anwendungen sehr langsam laufen oder das System bzw. die Anwendungen träge starten. Die Clients sind leistungsmäßig zu, auch wenn die Anwendung für Windows 10 ausreichte. Ein Grund kann sein, dass die Anwendungen oder deren Netzwerkverbindungen durch den Microsoft Defender ausgebremst werden. Inzwischen ist es aber so, dass sich der Microsoft Defender unter Windows 11 (inzwischen auch unter Windows 10) über Richtlinien oder einen Registrierungseintrag nicht mehr deaktivieren lässt. Nur bei Verwendung von Drittanbieter-Antivirus-Lösungen lässt sich der Microsoft Defender deaktivieren und in einen Passiv-Modus versetzen.
Anzeige
Windows 11 und ausgelastete Clients
Blog-Leser Alexander Fuchs hatte mich bereits Mitte August 2023 in einer Mail auf das Thema hingewiesen, welches bei administrator.de in einem längeren Thread Netzwerkperfomance und div. Anwendungen langsam diskutiert wird (danke dafür, ich komme erst jetzt dazu, das Thema aufzugreifen).
Der Sachverhalt ist schnell klar, ein Administrator begann damit einige Dell-Rechner als Windows-Clients von Windows 10 auf Windows 11 21H2/22H2 umzustellen und in der Unternehmensumgebung auszurollen. Es sind Systeme wie folgt:
2022: DELL Vostro mit i3-12100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (WD SN740 & Kioxia) / Realtek NICs (RTL8111HSD)
2022: DELL Vostro mit i5-12400 / 16GB RAM DDR4-3200 / 512GB NVMe SSD (Micro 2210S) / Realtek NIC (RTL8111HSD)
2023: DELL Optiplex mit i3-13100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (Samsung PM9B1) / Intel i219-LM NICs
2023: Terra BTO mit i3-12100 / 8GB RAM / 250GB NVMe SSDs / Intel i219-V NICs
Keine Hochleistungsrechner, aber die Clients sollten eigentlich für den Bürobetrieb ausreichend sein – zumal diese Clients mit Windows 10 21H2 / 22H2 ihren Dienst versahen. Der Administrator musste aber die Erfahrung machen, dass Nutzer berichteten, dass die neuen Windows 11 Clients mit einer oft eingesetzten Anwendung (Finanzsoftware an einer Progress-Datenbank) sehr zäh liefen.
Anzeige
Windows 11: Defender nicht mehr deaktivierbar
Die erste Vermutung war, dass es mit den Netzwerkverbindungen und der Optimierung des TCP/IP-Stacks zu tun habe. Ich hatte hier im Blog über dieses Thema berichtet (siehe Optimierung von Microsofts TCP-Murks in Windows 10 und 11). Und die zweite Vermutung war, dass der Phishing-Schutz mit rein schlägt (siehe Windows 11 Netzwerkverkehr erzeugt doppelt so hohe CPU-Last wie Windows 10).
Der Diskussionsthread Netzwerkperfomance und div. Anwendungen langsam auf administrator.de dreht sich sehr lange um diesen Themenkomplette und Versuche, den Verursacher der beobachteten Systembremsen für die Anwendungen herauszufinden. Zum Schluss kam der Verdacht auf, dass die Antivirus-Lösung die Ursache sei und es hieß:
Scheinbar schaltet unser AV auf den Rechnern in der Windows-Sicherheit noch etwas ab, was die GPO für den Defender nicht tut. Das könnte auch erklären warum der zweite Rechner in meinem Büro ohne weiteres Zutun, aber mit unserem AV, nach der Deaktivierung des Phishing-Schutzes schnell wurde.
Alexander hat dann in diesem Post ein weiteres Problem benannt. Die Gruppenrichtlinien (GPOs) zum Abschalten des Microsoft Defenders funktionieren in Windows 11 nicht mehr, weil Microsoft den entsprechenden Registrierungseintrag dieser GPO funktionslos gemacht hat. Das Ganze ist von Microsoft im Supportbeitrag DisableAntiSpyware mit Stand 7. Sept. 2023 beschrieben.
- Microsoft gibt an, dass der Registrierungseintrag DisableAntiSpyware, der angibt, ob der Microsoft Defender Antivirus deaktiviert werden soll nur für OEMs und IT-Experten vorgesehen war.
- Der Wert wurde dann zur Legacyeinstellung zurück gestuft, die nicht mehr erforderlich sei, da sich der Microsoft Defender Antivirus automatisch ausschaltet, wenn ein anderes Antivirenprogramm auf dem Gerät erkannt wird. Da die GPO nicht für Consumer-Geräte vorgesehen war, hat Microsoft beschlossen, diesen Registrierungsschlüssel zu entfernen.
Inzwischen gilt, dass die Registrierungseinstellung DisableAntiSpyware (und das Deaktivieren Microsoft Defender Antivirus) auf Client-/Server-Endpunkten für Geräte ignoriert wird, die in Microsoft Defender for Endpoint integriert sind.Das soll den Sicherheitsstatus der Kunden verbessern und die Parität zwischen Microsofts Angeboten (SKUs) sicherstelle.
Diese Änderung ist in der Microsoft Defender Antimalware-Plattform Version 4.18.2108.4 und höher enthalten (siehe KB405623) und diese Einstellung wird zusätzlich durch den Manipulationsschutz geschützt. Der Manipulationsschutz ist in allen Editionen von Windows 10, Version 1903 und höher verfügbar und standardmäßig für Verbraucher sowie neue Unternehmenskunden aktiviert (ich hatte sogar im Beitrag Microsoft Defender unter Windows 10 nicht mehr abschaltbar darüber geschrieben). Alexander schließt daraus, dass der sich der Microsoft Defender auf Systemen, auf denen beispielsweise Microsoft Office 365 E3/E5 installiert ist (dort ist der Microsoft Defender for Endpoint integriert), nicht mehr deaktivieren lässt.
Kunden, die dann in Probleme mit Anwendungen laufen, die durch den Microsoft Defender verursacht werden, haben dann nur noch die Möglichkeit, einen Drittanbieter Antivirus-Scanner zu installieren – in der Hoffnung, dass der Defender deaktiviert (und in den Passiv-Modus versetzt) wird und der Drittanbieter Antivirus-Scanner die Anwendungen nicht mehr ausbremst. Zum Problem wird das Ganze aber, wenn Windows die installierte Antivirus-Lösung eines Drittanbieters nicht sauber erkennt. Dann laufen Defender und Fremd-Antivirus-Scanner parallel und bremsen sich gegenseitig aus.
Den Defender entfernen
Administratoren, die in obige Probleme laufen, könnten versuchen, den Microsoft Defender auf den Clients (oder Servern) zu entfernen. Auf administrator.de gibt es einen Forenpost, der die obigen Beobachtungen bestätigt. Dort wird auf den Defender-Remover/Disabler, ein GitHub-Projekt verwiesen, mit dem man die Microsoft AV-Lösung aus Windows entfernen kann.
Dieses Tool entfernt/deaktiviert den Microsoft Defender, einschließlich der Windows Security App, in Windows, Weiterhin werden Windows Virtualization-Based Security (VBS), Windows SmartScreen, Windows Security Services, Windows Web-Threat Service, Windows File Virtualization (UAC), Microsoft Defender App Guard, Microsoft Driver Block List, System Mitigations und die Windows Defender-Seite in der Einstellungen App unter Windows 10 oder höher entfernt.
Die Diskussion im administrator.de-Thread und in diesem Thread ist ganz interessant. Das Tool entfernt/deaktiviert den Defender aus Windows, aber die Microsoft Antivirus-Lösung kommt mit jedem monatlichen kumulativen Update wieder auf das System zurück. Wer also von dieser Problematik betroffen ist, sollte sich die verlinkten Threads auf administrator.de durchlesen.
Artikelreihe:
Optimierung von Microsofts TCP-Murks in Windows 10 und 11
Windows 10/11: Grottige Netzwerktransfer-Leistung, hohe Windows 11 CPU-Last – Teil 1
Windows 11: Netzwerktransfer-Leistung und CPU-Last optimieren – Teil 2
Windows 11 Netzwerkverkehr erzeugt doppelt so hohe CPU-Last wie Windows 10
Anzeige
Das Defender bremst, kenne ich eigentlich nur aus dem Szenario, dass er parallel zu einer anderen AV-Lösung auch noch vollständig aktiv ist. Das kann dann in der tat böse enden, weil entsprechende Workstations oder Server unbenutzbar werden, weil sich die beiden AV im Ringkampf begegenen und sich und ihre Aktivitäten gegenseitig scannen… Das kann man wie oben beschrieben, einstellen und abschalten. Defender sollte die andere AV-Lösung allerdings auch automatishc erkennen und sich dezent zurückziehen. Vielleicht liegt da das Problem, Defender erkennt die andere Lösung nicht, weil sie sich nicht sauber am System als AV-Lösung anmeldet, da würde ich mal den Hersteller ansprechen. (Bei unserer Lösung klappt das!)
Der Witz ist ja gerade, dass der Defender besonders dann bremst, wenn es KEINE andere Antivirenlösung auf dem System gibt.
AV Lösungen sind immer Bremsen egal von welchem Hersteller.
Schon sehr oft auf Terminalserver festgestellt, dass der Defender enorm hohe Last verursacht hat und nur durch Neustart vorerst behoben werden konnte.
Es war meist ein Update Task, welcher aber über Stunden lief…
Hi, eigentlich müsste es reichen den Dienst "Microsoft Defender Antivirus-Dienst" und "Microsoft Defender Antivirus-Netzwerkinspektionsdienst" zu deaktivieren.
Und wer sagt dass Microsoft das in seiner "unendlichen Weißheit" nicht wieder aktiviert? Ich finde es dreist von Microsoft den Kunden die Möglichkeit zu nehmen den Defender zu deaktivieren. Ob das sinnvoll ist soll die doch bitte selbst entscheiden.
Das kann man auch per GPO, dann bleibts aus.
Eben nicht.
Die GPO funktioniert bei Win 11 nicht mehr!
Komisch, wir haben für den geplanten Umstieg 2024/25 auf 11 ein paar Testsysteme mit 11 laufen, bisher nur mit den GPOs die auch 10 versteht, das heißt die 11er ADMX noch nicht ins AD importiert. Und der Defender hält sich dezent zurück und überlässt die Arbeit dem von uns eingesetzten Enterprise-AV.
Das trifft auch auf Windows 10 Pro zu. Habe mich heute schon gewundert als ich einen neuen PC installiert habe. Das der Defender noch aktiv war obwohl ich den per GPO deaktiviert habe. PC ist in der Domäne. Microsoft eben. Nix funktioniert mehr so wie es sein sollte.
Bei mir ist Defender immernoch zuverlässig unter 22621.2283 (22H2) mit folgenden cmd Befehlen als TrustedInstaller (nehme dazu NSudo) deaktiviert:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdFilter /v Start /t REG_DWORD /d 4 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisDrv /v Start /t REG_DWORD /d 4 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc /v Start /t REG_DWORD /d 4 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /v Start /t REG_DWORD /d 4 /f
Gibt dort noch ein paar mehr Defender Einträge, aber um diesen Stumm zu bekommen, scheinen die zu reichen. Wenn ich unter Windows-Sicherheit unter Viren- und Bedrohungsschutz schaue, ist dort ein rotes X: "Es ist kein aktiver Antivirenabieter vorhanden, sodass Ihr Gerät anfällig ist." Das passt.
Du hast den Sense Dienst vergessen abzuschalten!
@%ProgramFiles%\Windows Defender Advanced Threat Protection\MsSense.exe,-1002
Danke. Steht bei mir schon auf Wert 4. Aber ja, würde in der Liste Sinn machen:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sense /v Start /t REG_DWORD /d 4 /f
No risc, no fun, no Mitleid.
Ich hatte die Tage das Problem, dass sich das Netzwerk des (Haupt)PCs nicht mehr via LAN verbunden hat. Ob dies mit dem geschilderten Problem zusammen hing, vermag ich nicht zu beurteilen.
Letztes Update hat die Windows 7 Sicherung lahmgelegt, jetzt werde ich mit dem Defender gegen meinen Willen zwangsbeglückt?
Meine, wenn ich ein Stück Software nutzen möchte – von der mir bekannt ist, dass sie sauber ist und mein Virenscanner (Drittanbieter) einen falsch positiven Alarm rausschmeißt – darf ich mich zukünftig auch noch mit der Registry rumschlagen – damit ich den Windows Defender und sein Gesummse zum Schweigen bringe????
(Hatte das Problem z.B. mit dem MSMG ToolKit von Deskmodder beim Bearbeiten einer ISO.)
Gehts noch???
Es ist ja zunächst einmal okay, wenn die werte Firma Microsoft möchte, das die Rechner auf denen sie laufen dürfen (!!!) der Meinung sind, dass das Ganze auch in einem sicheren Umfeld passieren soll!
ABER, wenn ein Nutzer der Meinung ist den Kram für eine Zeit zu deaktivieren, dann sollte das mindestens mit dem Adminpasswort möglich sein!
Bin ich jetzt ein unmündiges Kind oder jemand der für ein Betriebssystem gezahlt hat um es nutzen zu können?!
Was soll dieses Gängelband? Wir leben doch in einer Zeit mit mehr als zwei Geschlechtern… Wo niemand wegen irgendetwas diskriminiert werden soll und dann reagiert ein OS im Standartmodus derart eimschränkend und bevormundend?
Warum?
—Grüße—
Ich denke da gerade an Windows IoT, als von MS Linux "Konkurrenz" geplant, mit großzügigen Lizenzen und abschaltbarer Featuritis.
Solche Maschinen sehen niemals das Internet, können also ihre Signaturen niemals updaten, wozu auch?
Aber MS möchte den Defender vorschreiben, der völlig sinnlos wäre, mit alten Signaturen, und Rechenzeit verbrät und das Netzwerktiming bis zur Unbrauchbarkeit verhunzt, so dass noch nicht einmal eine neue CPU hilft.
Ich kann manch Groß-Unternehmen verstehen, die Microsoft IoT für Büro Clients aus dem Kreuz leiern, weil diese weit weniger Pflege benötigen (Sinnlose "metoo"-Feautures gar nicht erst mit bringen.
Letztlich alles eine Geldfrage. Wenn man MS mit Geld drohen kann, gibt's auch IoT fürs Büro.
Noch. Es solange man nicht vollständig von MS abhängig gemacht wurde.
Ich hoffe MS macht weiter mit seinem Größenwahn.
So werden noch mehr Entscheider aufwachen, das es das schöne Abendessen (ohne Ehefrau aber mit Beiprogramm?) doch nicht wert ist… Was die Linuxer ja niemals anbieten würden, wäre ja Korruption.
*** Was soll dieses Gängelband? ***
Ich glaube inzwischen der Defender ist zentraler Dreh und Angelpunkt immer mehr Kontrolle über Anwender auszuüben. Ich würde mich nicht wundern wenn MS eines Tages via Defender auch KI-Überwachung der Systeme einführt: Unerwünschte Software, unerwünschtes Verhalten (Hassrede, Pornografie), bis hin zur Klassifizierung von Anwendern.
Sowohl die Windows als technisches OS, als auch die gesellschaftlichen, und rechtliche Situation zeigen zunehmend deutlich in diese Entwicklungs-Richtung.
Wer sich von solcher Überwachung Lösen will kann mittelfristig nur nach GNU/Linux ausweichen.
Und wen wundert das? Habe vor Jahren schon befürchtet, das sich das so entwickelt. Und der Tenor war ja immer "Sicherheit" und "Stabilität" und jegliche Alternative wurde als "Schlangenöl" gebrandmarkt.
Natürlich wird der MS Defender nicht mehr deaktivierbar bleiben, dazu wurde inzwischen viel zu viel integriert, wovon MS sich mehr "Sicherheit" verspricht.
Eine AV ist wichtig, solange er bei Problemen auch – kurzfristig – deaktivierbar ist. Das ist nun gelaufen.
Wieder einmal Haftungsfrage: was passiert wenn System wegen dem Defender kompromittiert werden, M$ haftet eh für nix, der Dumme ist immer der Anwender, egal was passiert.
Für Betriebssysteme sollten die gleichen Vorgaben und Richtlinien gelten wie für Maschinen, dann wäre M$ auch in der Haftung und kann sich nicht mehr rausreden. Wer im Anlagebau Produkte von M$ einsetzt hängt schon mit einem Bein im Knast. (siehe auch: http://www.maschinenrichtlinie.de/fileadmin/dokumente/EU-MPR/2023-07-13_EU-Maschinenverordnung_AEnderungen_zur_Maschinenrichtlinie.pdf ) – wer will denn da schon M$ Produkte einsetzen?
Wir evaluieren aktuell, alle Display-Steuerungen auf Linux umzustellen um den Angriffsvektor zu verkleinern, ist aber schon etwas mehr Aufwand, da nicht alle SPS Hersteller da "mitspielen" :(
Das DisableAntiSpyware als GPO nicht mehr funktioniert ist ein Alter Hut.
August Update 2020, mit Engine 4.18.2007.8 integriert.
Microsoft Defender unter Windows 10 nicht mehr abschaltbar
:-D
Stimmt, ich seh vor lauter Blog-Bäumen den Wald als Ganze nicht mehr ;-).
Der Defender lässt sich mit Windows11 22H2 und dem Kummulativen Update 2023-09 mit folgendem Tool abstellen:
google: sordum.org Defender Control
Gerade getestet – ohne Thirdparty Antivirus.
google: sordum.org Defender Control
Interessant.
Geil.
Grübel, grübel..
Ich muß third party software und viel reverse engineering einsetzen in meinem Kampf(!) als Admin gegen einen durchgeknallten "Betrübtsystem"-Hersteller? WTF
(1)
Merken die in Redmond noch Einschläge?
Ich glaube schon, aber welcher größenwahnsinnige Narzist hält die 3 hellen Punkte am Ende des Tunnels für den Ausgang und nicht den Gegenzug…
Welcher sollte das auch sein.
(1)
Es gibt von Bill Gates ein Zitat, in dem er als sein Ziel setzt, das seine Software auf allen Computern der Welt laufen soll.
Das Netz gibt das nicht mehr her, kam aber über das Usenet IIRC.
Ja, findet chatGPT auch:
"Das Zitat stammt aus einem Interview mit Gates im Jahr 1986, das in der Usenet-Newsgroup alt.news.microsoft veröffentlicht wurde. In dem Interview sagte Gates:
"Unser Ziel ist es, dass unsere Software auf jedem Computer der Welt läuft. Wir wollen, dass jeder Computer, der jemals hergestellt wird, mit Microsoft-Software ausgestattet ist."
"
chatGPT gibt anschließend das ganze im Kontext aus.
Natürlich wurde das sorgfältigst nachrecheriert…
Wobei man daraus das das öfters auch In Büchern zitiert wurde nicht schließen kann, das das Interview keine Fiktion war
Aber das es Bielefeld nicht gibt würde ja auch im Usenet zuerst veröffentlicht…
Aber so wie es jetzt aussieht, war das Interview echt und ich habe inzwischen jemanden aus Bielefeld kennen gelernt.
Und welchen Schadcode bringt sordum mit? Haste das Tool geprüft, oder hast du ihm das Scheunentor geöffnet?
Schlagzeile 2025:
Windows 12: Microsoft Copilot nicht mehr abschaltbar!
Ich greife mal ein Problem auf, welches Administratoren, die Clients auf Windows 12 umstellen tangieren dürfte. In manchen Szenarien kommt es dazu, dass Anwendungen sehr langsam laufen oder das System bzw. die Anwendungen träge starten. Die Clients sind leistungsmäßig zu, auch wenn die Anwendung für Windows 11 ausreichte. Ein Grund kann sein, dass die Anwendungen oder deren Netzwerkverbindungen durch den Microsoft Copilot ausgebremst werden.
…
…
…
Lass den Anwender doch seine CoPiloten UI abstellen.
Ein zugrunde liegende KI-Dienst wandert in ein nicht abstellbares Kernelmodul und wird fortan nah mit Defender, und weiteren Systemdiensten zusammenarbeiten.
Also bei mir hat es bis jetzt noch jedes mal funktioniert unter
..\Microsoft Defender Antivirus\Echtzeitschutz\Deaktivierung vom Echtzeitschutz
was auch gut ist ist alle Ordner unter C:\ProgramData\Microsoft\Windows Defender\Platform zu löschen
nach der Behandlung ist in der Security Center UI nir die Antivirus Gruppe weg alle anderen Einstellungen gehen weiter hin und der defender läuft nicht mehr,
bis jetzt hat mir auch kein update den wieder aufs System gespült.
Was mich an den verschiedenen Disable Defender Tools stört ist das diese auch die ganze andere Security Center UI meist entfernen und das ist nicht gut, ein paar der Einstellungen dort sind durchaus nützlich.
@DavidXanatos
Was kommt denn nach einem
sfc scannow
raus?
Oder darf man das nicht mehr machen? Das Betrübtsystem mit Hersteller-Tools auf Konsistenz prüfen?
PS: ach man mus noch C:\Program Files\Windows Defender löschen,
dann sucht das windows update nicht mal nach updates für defender
> Was kommt denn nach einem sfc scannow
wen mand as macht wird C:\Program Files\Windows Defender widerhergestellt, aber nicht der inhalt von C:\ProgramData\Microsoft\Windows Defender\Platform
und wen man windows update macht kommt bei "Update für Windows Defender Antivirus-Antischadsoftwareplattform" zuverlässig einfach nur ein fehler.
Also defender bleibt tot, aber wie gesagt wenn man C:\Program Files\Windows Defender löschen löscht dan sucht er nicht mal nach uodates, also noch besser
Dass der Windows Defender unter Windows 11 nicht mehr deaktivierbar ist oder sein wird, ist aber schon seit längeren bekannt, ich hatte schon vor einigen Monaten einen Bericht bei winfeature.de darüber gelesen, dass sich der Defender auch mit Tricks und Zusatzsoftware nicht mehr aushebeln lässt, da gab es mal den DefenderControl prima Tool, Hintergrund ist das der Defender ziemlich Bockig wird, halt Typisch für Microsoft, alles, was einem auf den Sack gehen könnte, wird so verrammelt, dass man irgendwann keine Lust mehr auf Windows hat, sollte also Microsoft nicht Wundern, wenn die Userzahlen irgendwann schwinden.
Die Idee dahinter war den Defender schon bei der Erstinstallation auf Aktiv zu setzen, sodass er beim ersten Start auch gleich aktuell daher kommt, so kann man sich unter Umständen auch nichts einfangen, das klingt erstmal recht sinnvoll, schaft aber mitunter Probleme bei bestimmter Software, die man installieren möchte.
Da sollte man sich eher fragen, was man da für komische Software einsetzt. Aber klar, wenn man Hackingtools wie das Zeugs von NirSoft oder sharphound nutzt, da kann einem der installierte Antivirus schonmal ziemlich dazwischen grätschen, wenn man nicht weiß, was man tut. Richtige Hacker legen sich da eine Ausnahme für ein bestimmtes Verzeichnis im AV an und Ruhe ist.
Also in meinen Umgebungen lasse ich gerne den Defender als "Fallback" laufen, macht grundsätzlich auch keine Probleme Defender + 3rd Party EDR/AV laufen zu lassen.
Und bei Anwendungen wo wirklich Mal der Defender reinpfuscht und lt. RiskManagement auch vertretbar kann man auch Exclusions hinzufügen…nicht nötig alles zu deaktivieren.
Es geht hier um das Prinzip dass Microsoft es sich herausnimmt zu bestimmen dass der Defender zu laufen hat. Und das hat nichts damit zu tun ob das nötig ist oder nicht. Es geht um die freie Entscheidung der Anwender ihn deaktivieren zu können.
Naja, no risc, no fun, no Mitleid.
Das installierte Windows kann nicht wissen, ob du ein DAU oder ein Experte bist, und es gibt auch keinen Experten-Schalter, denn den könnte auch der DAU umlegen. Und es gibt auch Experten, die doch ein DAU sind. Den DAU den AV deaktivieren zu lassen, wäre fatal, weil er dann schnell eine verschlüsselte Spamschleuder auf dem Tisch stehen hat.
Ich habe heute auf meinem Zweitrechner Windows 11 (aktuell) zu Testzwecken Avira Free installiert. Im Sicherheitscenter ist korrekt eingetragen: Antivirenlösung: Avira; Firewall: Microsoft. Im Taskmanager sehe ich, dass der MS Defender aktiv (!) bleibt. Den "Dienst" MS Defender kann ich nicht deaktivieren und per GPO kann ich auch keine Deaktivierung realisieren.
Zwei Antivirenlösungen parallel ist eine toxische Lösung.
Befasse dich mal damit, was der Defender da noch macht. Hinweis: Avira und viele andere AV anderer Hersteller können gewisse Sachen, die Defender macht nicht abdecken. Zum Beispiel Stichwort "Smartscreen", "Passive Mode". Auch die Firewall gehört dazu.
Das hier gibt einen ganz guten Überblick:
https://shehanperera.com/2023/08/23/mde-passivemode-01/
Moin 1ST1,
Smartscreen heisst bei den anderen Herstellern Application-Control. 😉
Gruss Alex
Also: GENERELL ist der Defender nach wie vor im aktuellen Win 11 abschaltbar. Je nachdem, wie viel man davon abschaltet, sieht man dann die Info "Virenschutz wird von der Organisation verwaltet", wenn man Sicherheit aufruft oder die Seite "Sicherheit" erscheint gar nicht mehr. Alle Leute, die das Gegenteil behaupten, liegen falsch. Systeme mit Office 365 usw., wie im Text erwähnt, mögen ein Spezialfall sein, kann ich nicht testen, aber generell ist der Defender in Win 11 deaktivierbar, die Vorgehensweise hatte ich hier schon beschrieben.
Moin @Sherlock,
*
> "GENERELL ist der Defender nach wie vor im aktuellen Win 11 abschaltbar."
*
ist er eben nicht!
Lies dir einfach mal den folgenden Beitrag …
Netzwerkperfomance und div. Anwendungen langsam
… und auch die MS Dokus auf die ich in diesem verweise, mal genauer durch.
Gruss Alex
Alexander Fuchs (MysticFoxDE) schrieb:
> ist er eben nicht!
Doch, ist er – und Dokus muss ich deshalb nicht lesen. Ich habe den Defender hier in der aktuellen Version von Win 11 Pro (23H2) deaktiviert und er ist weg. Also ist er generell in Win 11 abschaltbar, ich habe keine Sonderversion. Ich halte mich da an meine eigene Doku – und da sie erfolgreich ist, trifft sie zu. ;-)
Moin @Sherlock,
*
> "Doch, ist er – und Dokus muss ich deshalb nicht lesen. Ich habe den Defender hier in der aktuellen Version von Win 11 Pro (23H2) deaktiviert und er ist weg."
*
ja, ich sehe einen Post weiter unter, wie du das anstellst. Mit einem einfachen Deaktivieren und vor allem Hersteller konformen weg, hat das überhaupt nichts zu tun!
*
Gruss Alex
Falsch, GPOs SIND herstellerkonform! Wie schon gesagt, zeigt Windows dann die Nachricht "Virenschutz wird von der Organisation verwaltet" an – und der Defender ist nicht mehr aktiv. Das auf allen hier verwendeten aktuellen Win 11 Pro-Systemen. Generell ist der Defender also mit Bordmitteln deaktivierbar.
Zusätzlich deaktiviere ich auch noch diverse Defender-Dienste nach dem Motto "doppelt genäht hält besser", auch um Windows die Warnung, es sei kein Virenschutz da, auszutreiben.
Der Defender ist bisher nach meiner Erfahrung gut händisch abschaltbar wenn man sich die Rechte besorgt. Ich nutze dazu gerne das Tool "ExecTI" das beliebige Programme startet und sie mit den Rechten des "Trusted Installer" ausstattet. Eine so gestartete MMC kannn dann viel Telemetry Mist und auch den Defender nachhaltig abschalten. (Auch ein damit gestarteter ProcessExplorer oder Autoruns von SysInternals kann damit viel in Ordnung bringen.)
Ich nutze hier Powerrun.exe, damit ist man System und Trusted Installer zusammen. Alternativ gebe ich mir Backup/Restore-Privilegien, damit bleibe ich im eigenen Konto und kann auch alles ändern, ohne den System/TrustedInstaller-Zirkus.