时间:2020-09-02 08:13:54来源:Win10专业版官网点击量:N次
9月2日消息:微软已经确认他们不再允许通过Win10注册表禁用Microsoft Defender以支持篡改保护安全功能。在Win10 1903发行时,它引入了一项称为防篡改的新安全功能,可以防止Windows安全和Microsoft Defender设置在Windows界面之外更改。
这包括命令行工具,注册表更改或组策略。
Microsoft Defender不再可以通过注册表禁用
Windows用户历来能够使用“关闭Microsoft Defender防病毒”组策略来禁用Microsoft Defender。
关闭Microsoft Defender防病毒组策略
启用后,将在HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender项下创建“ DisableAntiSpyware”注册表值并将其设置为1。
本月初,我们报告Microsoft Defender将不再接受此注册表值,因为它不再需要它,并且防篡改无论如何都会对其进行保护。
“这是一个旧设置,不再需要,因为Microsoft Defender防病毒软件在检测到另一个防病毒程序时会自动关闭自身。”
Microsoft已在DisableAntiSpyware的支持文档中添加了内容。
故事的更多内容
微软的说法并非全部,因为BleepingComputer进行的广泛测试表明,即使启用了篡改保护功能,DisableAntiSpyware Registry值仍然可以短暂工作。
启用后,如果恶意软件重新启动了计算机,则该特定会话将禁用Microsoft Defender。下次重新启动时,防篡改功能将启动并再次启用Windows Defender。
Microsoft Defender被DisableAntiSpyware值禁用
但是,这种短暂的保护失效是恶意软件渗透到Windows计算机所需的全部。
我们已经报道了很多疾病,包括TrickBot,Novter,马蹄声勒索,仙境传说勒索,并AVCrypt勒索谁已通过“DisableAntiSpyware”注册表值,禁用它专门针对微软后卫。
因此,BleepingComputer认为Microsoft不仅删除了此策略,因为它并不需要它,而且还可以防止攻击者利用篡改保护中的这一短暂漏洞。
微软确认这不是全部
在Windows 10消息中心的更新中,Microsoft已经确认我们怀疑DisableAntiSpyware策略现在被忽略以支持篡改保护。
通过弃用DisableAntiSpyware支持防篡改
Microsoft Defender防病毒篡改保护默认情况下,所有消费者Windows 10设备都处于打开状态。此功能可保护设备免受试图禁用内置安全解决方案(例如防病毒保护)的网络攻击,从而试图访问您的数据,安装恶意软件或以其他方式利用您的数据,身份和设备。由于Microsoft Defender防病毒软件在检测到另一个防病毒程序时会自动关闭自身,因此我们将删除名为DisableAntiSpyware的旧式注册表设置。打算由OEM和IT管理员用来禁用Microsoft Defender Antivirus以便在部署期间部署另一防病毒产品,DisableAntiSpyware不适用于消费类设备,将从Microsoft Defender Antimalware平台4.18.2007.8及更高版本开始删除。KB4052623有关详细信息)。此更新将在将来发布到运行Windows Enterprise E3和E5的设备上。
删除DisableAntiSpyware策略后,恶意软件将无法再利用TamperProtection的弱点,并且只有通过Windows设置或安装其他防病毒软件才能禁用Microsoft Defender。