关闭defender

这篇博客详细介绍了如何通过PowerShell命令禁用和配置Windows Defender的多个功能,包括关闭实时保护、行为监视、IOAV保护、自动更新,以及设置不同威胁级别的默认操作。此外,还涉及了排除特定文件扩展名和进程,禁止向微软报告安全信息,以及关闭受控文件夹访问和PUA保护。同时,讨论了攻击面减少,特别是关闭受控文件夹访问的功能。
摘要由CSDN通过智能技术生成

Windows Defender功能削弱

# 关闭实时保护
powershell.exe -command "Set-MpPreference -DisableRealtimeMonitoring $true"

# 关闭行为监视
powershell.exe -command "Set-MpPreference -DisableBehaviorMonitoring $true"

# 禁用IOAV保护,禁止扫描下载的文件和附件
powershell.exe -command "Set-MpPreference -DisableIOAVProtection $true"

# 关闭Defender自动更新
powershell.exe -command "Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine $true"

# 禁止扫描.zip等的存档文件
powershell.exe -command "Set-MpPreference -DisableArchiveScanning $true"

# 关闭已知漏洞利用防护
powershell.exe -command "Set-MpPreference -DisableIntrusionPreventionSystem $true"

Defender威胁忽视

# 禁止提交样本
powershell.exe -command "Set-MpPreference -SubmitSamplesConsent 2"

# 指定用于高级威胁的自动修复操作选项
powershell.exe -command "Set-MpPreference -HighThreatDefaultAction 6 -Force"

# 指定用于中级威胁的自动修复操作选项
powershell.exe -command "Set-MpPreference -ModerateThreatDefaultAction 6"

# 指定用于低级威胁的自动修复操作选项
powershell.exe -command "Set-MpPreference -LowThreatDefaultAction 6"

# 指定用于严重威胁的自动修复操作选项
powershell.exe -command "Set-MpPreference -SevereThreatDefaultAction 6"

Defender检测扩展排除

powershell.exe -command "Add-MpPreference -ExclusionExtension ".exe""

Defender检测进程排除

powershell.exe -command "Add-MpPreference -ExclusionProcess "regsvr32""

powershell.exe -command "Add-MpPreference -ExclusionProcess "regsvr32*""

powershell.exe -command "Add-MpPreference -ExclusionProcess ".exe""

powershell.exe -command "Add-MpPreference -ExclusionProcess "iexplorer.exe""

powershell.exe -command "Add-MpPreference -ExclusionProcess "explorer.exe""

powershell.exe -command "Add-MpPreference -ExclusionProcess ".dll""

powershell.exe -command "Add-MpPreference -ExclusionProcess "*.dll""

powershell.exe -command "Add-MpPreference -ExclusionProcess "*.exe""

禁止向微软报告安全信息

cmd /c powershell.exe -command "Set-MpPreference -MAPSReporting 0"

保护关闭

# PUA保护关闭
powershell.exe -command "Set-MpPreference -PUAProtection disable"

攻击面减少

# 关闭受控文件夹访问
powershell.exe -command "Set-MpPreference -EnableControlledFolderAccess Disabled"

参考资料:

攻击技术研判|针对Windows Defender的防御削弱及LOLBAS规避技术分析 (qq.com)

Windows 11的安全中心(Defender Security Center)是Microsoft自带的一种全面安全防护系统,包括防病毒、防火墙和恶意软件防护等功能。如果你想彻底关闭它,需要谨慎操作,因为这可能会降低系统的安全性。 首先,你需要通过设置管理 Defender。以下是关闭Windows Defender的步骤: 1. **打开设置**:点击开始菜单,然后选择“设置”图标,或者按下Win + I快捷键。 2. **进入更新和安全**:在设置窗口中,选择“Windows Update”,接着滚动到左侧并点击“Security”。 3. **管理Windows Defender**:在“Security”部分下,你会看到“Windows Defender”选项,点击进去。 4. **更改防护设置**:在新页面里,找到“病毒和威胁保护”部分,你可以选择“高级”来切换到详细设置。 5. **关闭实时保护**:在“实时防护”下的开关处,将其关闭。但这只停用了实时扫描,为了完全禁用,还需要进一步操作。 6. **禁用自动修复和云存储**:继续向下滚动,在“更新和云储存”部分,将“启用Windows Defender防病毒程序的自动修复”和“使用Windows Defender Online Protection”两项都关闭。 7. **确认无误**:关闭设置后,记得检查Windows事件查看器或其他安全监控工具,确保没有任何关于Defender的活动日志。 请注意,除非你有充分的理由(例如专业级别的替代方案),否则建议保留Windows Defender的基本功能,因为它对于大多数用户来说是一个重要的保护措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值