微软确认无法通过注册表禁用Windows Defender

9月2日消息：微软已经确认他们不再允许通过Win10注册表禁用Microsoft Defender以支持篡改保护安全功能。在Win10 1903发行时，它引入了一项称为防篡改的新安全功能，可以防止Windows安全和Microsoft Defender设置在Windows界面之外更改。

这包括命令行工具，注册表更改或组策略。

Microsoft Defender不再可以通过注册表禁用

Windows用户历来能够使用“关闭Microsoft Defender防病毒”组策略来禁用Microsoft Defender。

关闭Microsoft Defender防病毒组策略

启用后，将在HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows Defender项下创建“ DisableAntiSpyware”注册表值并将其设置为1。

本月初，我们报告Microsoft Defender将不再接受此注册表值，因为它不再需要它，并且防篡改无论如何都会对其进行保护。

“这是一个旧设置，不再需要，因为Microsoft Defender防病毒软件在检测到另一个防病毒程序时会自动关闭自身。”

Microsoft已在DisableAntiSpyware的支持文档中添加了内容。

故事的更多内容

微软的说法并非全部，因为BleepingComputer进行的广泛测试表明，即使启用了篡改保护功能，DisableAntiSpyware Registry值仍然可以短暂工作。

启用后，如果恶意软件重新启动了计算机，则该特定会话将禁用Microsoft Defender。下次重新启动时，防篡改功能将启动并再次启用Windows Defender。

Microsoft Defender被DisableAntiSpyware值禁用

但是，这种短暂的保护失效是恶意软件渗透到Windows计算机所需的全部。

我们已经报道了很多疾病，包括TrickBot，Novter，马蹄声勒索，仙境传说勒索，并AVCrypt勒索谁已通过“DisableAntiSpyware”注册表值，禁用它专门针对微软后卫。

因此，BleepingComputer认为Microsoft不仅删除了此策略，因为它并不需要它，而且还可以防止攻击者利用篡改保护中的这一短暂漏洞。

微软确认这不是全部

在Windows 10消息中心的更新中，Microsoft已经确认我们怀疑DisableAntiSpyware策略现在被忽略以支持篡改保护。

通过弃用DisableAntiSpyware支持防篡改

Microsoft Defender防病毒篡改保护默认情况下，所有消费者Windows 10设备都处于打开状态。此功能可保护设备免受试图禁用内置安全解决方案(例如防病毒保护)的网络攻击，从而试图访问您的数据，安装恶意软件或以其他方式利用您的数据，身份和设备。由于Microsoft Defender防病毒软件在检测到另一个防病毒程序时会自动关闭自身，因此我们将删除名为DisableAntiSpyware的旧式注册表设置。打算由OEM和IT管理员用来禁用Microsoft Defender Antivirus以便在部署期间部署另一防病毒产品，DisableAntiSpyware不适用于消费类设备，将从Microsoft Defender Antimalware平台4.18.2007.8及更高版本开始删除。KB4052623有关详细信息)。此更新将在将来发布到运行Windows Enterprise E3和E5的设备上。

删除DisableAntiSpyware策略后，恶意软件将无法再利用TamperProtection的弱点，并且只有通过Windows设置或安装其他防病毒软件才能禁用Microsoft Defender。