恶意软件无法再通过注册表禁用微软防御和第三方安全软件

8月21日晚间消息：微软已经删除了通过注册表禁用微软防御和第三方安全软件的能力，以防止恶意软件篡改保护设置。

自WindowsVista以来，用户可以通过使用“关闭Microsoft Defender AntiVirus”策略设置完全禁用microsoft Defender，并可能禁用其他第三方安全软件。

关闭Microsoft防御程序防病毒组策略

启用策略后，将在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows保护键下创建“DisableAntiSpyware”注册表值，并将其设置为1，如下所示。

禁用防间谍软件价值

Windows注册表编辑器5.00版

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows辩护人]

“DisableAntiSpyware”=dword：00000001

一旦启用，这个键将关闭“微软防御反病毒，以及第三方杀毒软件和应用程序。”

在更新DisableAntiSpyware文档，Microsoft声明DisableAntiSpyware值现在将被忽略，不再用于禁用防病毒软件。

“DisableAntiSpyware用于原始设备制造商和IT Pros禁用Microsoft Defender AntiVirus并在部署期间部署另一个防病毒产品。这是一个不再需要的遗留设置，因为Microsoft Defender AntiVirus检测到另一个防病毒程序时会自动关闭它自己。此设置不适用于消费设备，我们已决定删除此注册表项。此更改包含在Microsoft Defender Antialware平台4.18.2007.8及更高版本中。KB 4052623。EnterpriseE3和E5版本将在未来发布。注意，此设置由篡改保护。篡改保护可在所有家庭和专业版本的Windows 10版本1903及更高版本，并在默认情况下启用。DisableAntiSpyware删除的影响仅限于1903年以前的Windows 10版本，使用Microsoft Defender AntiVirus。此更改不影响到Windows安全应用程序的第三方防病毒连接。这些措施仍会如预期般运作。“

微软还表示，如果用户删除其安装的防病毒解决方案，Windows Defender将自动打开以保护它们。

“消费者可能会选择运行另一种AV解决方案，但如果出于任何原因，该解决方案被关闭，微软维护者AV将重新打开，以确保用户在保护方面不会出现漏洞。这一变化不会影响第三方与Windows Security应用程序的杀毒连接。这些连接仍将如预期的那样工作，”微软告诉“吸血电脑”(BleepingComputer)。

微软可能并没有说出全部的故事。

就像Windows管理员知道DisableAntiSpyware组策略一样，恶意软件开发人员也知道。

失血计算机已经报告了许多恶意软件感染，包括三角机器人,诺夫特,Clop洗劫器,Ragnarok洗劫器，和AVCrypt洗劫器他们滥用此组策略尝试禁用Windows中的防病毒保护。

随着Windows101903的发布，微软推出了一个名为门窗篡改保护这可以防止程序、Windows命令行工具、注册表更改或组策略更改Windows安全和Microsoft保护程序设置。

不幸的是，即使启用了篡改保护，添加DisableAntiSpyware注册表值也是短暂的。

如果恶意软件将DisableAntiSpyware值添加到注册表，然后重新启动计算机，则在重新启动篡改保护时将删除该值。

不过，在重新启动计算机之前，该会话仍将禁用Windows Security。

由DisableAntiSpyware值禁用的Microsoft维护者

此方法允许Microsoft Defender或其他安全软件不受检查地运行恶意软件。

由于Microsoft Defender现在忽略了DisableAntiSpyware值，Windows 10用户对试图使用此技术禁用安全软件的威胁有更大的保护。