以同样的方式禁用实时保护部分中的以下组策略设置:关闭实时保护=禁用;
要应用新设置,请使用 gpupdate 命令更新计算机上的本地组策略设置:
gpupdate /force
然而,这在现代 Windows 10 和 11 版本中不起作用。完全禁用 Microsoft Defender 的唯一方法是以安全模式重新启动计算机并阻止 Defender 服务启动。
要以安全模式重新启动计算机,请运行以下命令:
bcdedit /set {current} safeboot minimal
reboot /r
启动进入安全模式后,打开注册表编辑器(regedit.exe);
然后依次打开以下注册表项,并将每一行中 Start 注册表项的值更改为 4:
注册表项 范围 默认值新值(禁用防守者)HKLMSYSTEMCurrentControlSetServicesSense 开始34HKLMSYSTEMCurrentControlSetServicesWdBoot 开始04HKLMSYSTEMCurrentControlSetServicesWdFilter 开始04HKLMSYSTEMCurrentControlSetServicesWdNisDrv 开始34HKLMSYSTEMCurrentControlSetServicesWdNisSvc 开始34HKLMSYSTEMCurrentControlSetServicesWinDefend 开始24
要取消启动进入安全模式,请运行以下命令:
bcdedit /deletevalue {current} safeboot
然后重新启动 Windows。使用你的帐户登录 Windows 并检查 Microsoft Defender 现已禁用。
使用 PowerShell 更改 Microsoft Defender 设置您可以使用 PowerShell 更改 Microsoft Defender 防病毒设置。要显示当前的 Windows Defender 设置,您可以使用 cmdlet Get-MpPreference。要更改设置,请使用 Set-MpPreference。
在 Windows Defender 设置中,IPS、可移动磁盘检查、电子邮件和其他一些检查默认处于禁用状态。例如,您需要启用可移动驱动器的扫描。让我们使用以下命令获取当前设置:
Get-MpPreference | fl disable*
在 Windows 11 中,默认情况下禁用以下 Windows Defender 功能:
DisableCatchupFullScan.
DisableCatchupQuickScan.
DisableCpuThrottleOnIdleScans.
DisableEmailScanning.
DisableRemovableDriveScanning.
DisableRestorePoint.
DisableScanningMappedNetworkDrivesForFullScan.
EnableFileHashComputation.
EnableFullScanOnBatteryPower.
EnableLowCpuPriority.
如您所见,可移动驱动器扫描已禁用 (DisableRemovableDriveScanning = True)。使用以下命令将其打开:
Set-MpPreference -DisableRemovableDriveScanning $false
此外,您还可以禁用某些类型的 Windows Defender 扫描。默认情况下,Windows Defender 扫描存档文件(RAR、ZIP、CAB),这些文件可能包含恶意文件。您可以使用以下命令禁用存档文件扫描:
Set-MpPreference -DisableArchiveScanning $True
确保应用新设置:
Get-MpPreference|select DisableArchiveScanning