{"id":234733,"date":"2020-08-22T00:19:00","date_gmt":"2020-08-21T22:19:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234733"},"modified":"2023-09-25T22:22:59","modified_gmt":"2023-09-25T20:22:59","slug":"microsoft-defender-unter-windows-nicht-mehr-abschaltbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/22\/microsoft-defender-unter-windows-nicht-mehr-abschaltbar\/","title":{"rendered":"Microsoft Defender unter Windows 10 nicht mehr abschaltbar"},"content":{"rendered":"

[English<\/a>]Microsoft hat die M\u00f6glichkeit f\u00fcr Administratoren, den in Windows enthaltenen Defender zu deaktivieren, jetzt deaktiviert. Dies soll es Malware erschweren, den Virenschutz abzuschalten. Gleichzeitig werden die betreffenden Registrierungseintr\u00e4ge und Gruppenrichtlinien wirkungslos.<\/p>\n

<\/p>\n

\"\"Ich hatte es bereits die Tage bei den Kollegen von deskmodder.de mitbekommen die in diesem Beitrag<\/a> berichteten, dass der Eintrag DisableAntiSpyware <\/em>in den Einstellungen des Microsoft Defender seit August 2020 nicht mehr wirke. Dort konnte ich mir keinen wirklichen Reim drauf machen – erst mit dem Artikel bei Dr. Windows<\/a> habe ich dann mitbekommen, dass sich etwas beim Microsoft Defender unter Windows 10 ge\u00e4ndert habe. Martin wies auf widerspr\u00fcchliche Hinweise im Supportbeitrag hin. Nun hat mich Blog-Leser Andreas E. \u00fcber Facebook noch auf das Thema aufmerksam gemacht (danke daf\u00fcr):<\/p>\n

Achja: Der Defender AV kann nicht mehr via GPO auf Windows 10 Clients deaktiviert werden. Dies hat Microsoft it dem aktuellen Patchday an alle W10 Clients ausgerollt!!<\/p>\n

Dies bedeutet 3rd Party AVs M\u00dcSSEN zwingend die von MS bereitgestellten APIs nutzen um sich sauber zu registrieren. Ansonsten wird es zu Komplikationen kommen!<\/p><\/blockquote>\n

Andreas hatte dann noch den Link auf den Microsoft-Supportbeitrag DisableAntiSpyware<\/a> gepostet. Der Beitrag wurde am 21.8.2020 aktualisiert, und enth\u00e4lt folgenden Hinweis:<\/p>\n

DisableAntiSpyware is intended to be used by OEMs and IT Pros to disable Microsoft Defender Antivirus and deploy another antivirus product during deployment. This is a legacy setting that is no longer necessary as Microsoft Defender antivirus automatically turns itself off when it detects another antivirus program. This setting is not intended for consumer devices, and we've decided to remove this registry key. This change is included with Microsoft Defender Antimalware platform versions 4.18.2007.8 and higher KB 4052623<\/a>. Enterprise E3 and E5 editions will be released at a future date. Note that this setting is protected by tamper protection<\/a>. Tamper protection is available in all Home and Pro editions of Windows 10 version 1903 and higher and is enabled by default. The impact of the DisableAntiSpyware removal is limited to Windows 10 versions prior to 1903 using Microsoft Defender Antivirus. This change does not impact third party antivirus connections to the Windows Security app. Those will still work as expected.<\/p><\/blockquote>\n

Die Option DisableAntiSpyware<\/em> war eigentlich f\u00fcr OEMs und IT-Professionals gedacht, um den Microsoft Defender Antivirus (auf Servern, wie weiter unten im Text des Supportbeitrags steht) abzuschalten, wenn andere Antivirus-Produkte installiert wurden. Die Option war aber nie f\u00fcr die Consumer-Plattformen (Windows 10 Home und Pro) vorgesehen. Microsoft hat nun aber beschlossen, dass diese Option in der Registrierung \u00fcberfl\u00fcssig sei. Denn der Defender erkennt, wenn eine andere Antivirus-Software sich \u00fcber die vorgesehene API registriert und schaltet sich dann selbst ab.<\/p>\n

Microsoft hat daher die Auswertung des Registrierungsschl\u00fcssels zum Deaktivieren des Defenders ab der Microsoft Defender Antimalware Platform Version 4.18.2007.8 und h\u00f6her \u00fcber das Update KB4052623<\/a> entfernt. Damit wir der Schl\u00fcssel:<\/p>\n

HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\\Windows Defender<\/p>\n

und der dort eventuell vorhandene Wert DisableAntiSpyware<\/em> nicht mehr wirksam (solange Tamper Protection eingeschaltet ist, siehe auch den Kommentar von Bernhard). Auch Gruppenrichtlinien ('Turn off Microsoft Defender Antivirus'), die \u00fcber diesen Wert den Defender deaktivieren sollen, wirken dann nicht mehr. Das Abschalten des Defender durch Malware konnte ja seit Windows 10 Version 1903 durch den Manipulationsschutz (Tamper Protection) unterbunden werden.<\/p>\n

Bleeping Computer\u00a0berichtet hier<\/a>, dass Malware zwar den Registrierungseintrag DisableAntiSpyware <\/em>setzen kann. Dieser Wert wird jedoch durch den Manipulationsschutz entfernt. Allerdings bleibt der Defender jedoch f\u00fcr die aktuelle Sitzung weiterhin deaktiviert.<\/p>\n

Der Microsoft-Supportbeitrag enth\u00e4lt aber widerspr\u00fcchliche Informationen – der Textkasten am Anfang weist auf Clients hin, w\u00e4hrend im Text die Info steht, dass der Registrierungseintrag nur f\u00fcr Server gelte.\u00a0Zudem kann der Defender weiterhin mit 'defender control' von sordum deaktiviert werden – siehe nachfolgende Kommentare.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 10 V1903 mit Windows Defender Tamper-Protection<\/a>
\nTamper Protection auf \u00e4ltere Windows 10-Versionen portiert<\/a>
\nWindows 10 V1903: Microsoft aktiviert Tamper Protection<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat die M\u00f6glichkeit f\u00fcr Administratoren, den in Windows enthaltenen Defender zu deaktivieren, jetzt deaktiviert. Dies soll es Malware erschweren, den Virenschutz abzuschalten. Gleichzeitig werden die betreffenden Registrierungseintr\u00e4ge und Gruppenrichtlinien wirkungslos.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[161,301],"tags":[2699,3288],"class_list":["post-234733","post","type-post","status-publish","format-standard","hentry","category-virenschutz","category-windows","tag-defender","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234733","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=234733"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234733\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=234733"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=234733"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=234733"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}