Microsoft、Windows Defender ウイルス対策を無効にするレジストリ設定を削除 30
ストーリー by headless
無効 部門より
無効 部門より
Windows Defender(Microsoft Defender)マルウェア対策プラットフォームバージョン4.18.2007.8以降では、Windows Defenderウイルス対策を無効にするレジストリ設定が削除されている(Microsoft Docsの記事、 Ghacksの記事、 Softpediaの記事、 On MSFTの記事)。
このレジストリ設定は「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender」のDWORD値「DisableAntiSpyware」で、これまでは値のデータに「1」をセットすることでWindows Defenderウイルス対策を無効化できていた。元々OEMやIT担当者が別のウイルス対策製品を展開する場合に使用するものだったが、現在は別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化されるため、不要な設定になっていたという。レジストリ設定はグループポリシーで「ローカルコンピューターポリシー→コンピューターの構成→管理用テンプレート→Windowsコンポーネント→Windows Defenderウイルス対策」の「Windows Defenderウイルス対策を無効にします」に対応するため、このグループポリシー設定も無視されることになる。
このレジストリ設定は「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender」のDWORD値「DisableAntiSpyware」で、これまでは値のデータに「1」をセットすることでWindows Defenderウイルス対策を無効化できていた。元々OEMやIT担当者が別のウイルス対策製品を展開する場合に使用するものだったが、現在は別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化されるため、不要な設定になっていたという。レジストリ設定はグループポリシーで「ローカルコンピューターポリシー→コンピューターの構成→管理用テンプレート→Windowsコンポーネント→Windows Defenderウイルス対策」の「Windows Defenderウイルス対策を無効にします」に対応するため、このグループポリシー設定も無視されることになる。
インチキセキュリティベンダー対策かと (スコア:1)
defender検知をくぐり抜けてインストールしたらPCを人質に取ったり破壊するようなインチキベンダー対策でないの。
# トレンドマイクロのことではない…多分。
昔から (スコア:0, オフトピック)
>現在は別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化されるため
現在も何も昔からそういう挙動じゃなかったのかな?
ウイルス対策ソフトが多重で動くなんてないと思うが
Re:昔から (スコア:2)
これ以前から気になっていたんですが
・タスクマネージャー上はWindows Defender関連らしきプロセスが止まらない
・Windows UpdateでWindows Defender関連のモジュール・定義ファイルの更新が入る
「自動で無効化される」ことについて詳細内容のソースがあればご教示頂けると有難いです。
Re:昔から (スコア:5, 参考になる)
これ以前から気になっていたんですが
・タスクマネージャー上はWindows Defender関連らしきプロセスが止まらない
現状、Windows Defenderは、防護関連のブランドになってるので、
Windows Defender SmartScreen等、アンチウィルス以外の物も存在します。
また、Microsoft Defender ATPに参加している場合も停止しません。
プロセス名やコマンド引数を確認すると良いかと。
・Windows UpdateでWindows Defender関連のモジュール・定義ファイルの更新が入る
「自動で無効化される」ことについて詳細内容のソースがあればご教示頂けると有難いです。
ATPも含めこれが一番解りやすいかな。 [microsoft.com]
「自動無効モード」というのがそれです。
読めば解りますが、サーバーだと自動的に無効化されない事に注意が必要です。
また、上記記事に、
Microsoft Defender ウイルス対策が自動的に無効になっている場合は、サードパーティ製のウイルス対策製品によって提供された保護が期限切れになった場合、またはウイルス、マルウェア、その他の脅威からリアルタイム保護を提供できない場合に、自動的に有効にすることができます。
と有るように、勝手に有効化する条件が有ります。
ネットワーク障害でサードパーティーのアンチウィルス製品のパターン更新が止まったり、
Windowsに通知する機能がバグって、リアルタイム保護が機能していないと判断された場合は、勝手にWindows Defenderが有効化されます。
※自動有効化はサードパーティー製品で、期限切れになったのに放置するエンドユーザーが多かったから仕方ない面も。
サードパーティー製品がWindowsからどう認識されているかは、Windows セキュリティで確認出来ます。
Re:昔から (スコア:1)
貴重な情報とサジェスチョンありがとうございました。
参考になる(+1)で
Re:昔から (スコア:2)
自動無効とプロセスや自動更新は無関係なのかも?
他のウイルス対策ソフトが動作しているPCで、そのウイルス対策ソフトをアンインストールするシチュエーションを考えてみたんだけど。
・Windows Defender関連らしきタスクが止まっていると、ウイルス対策ソフトがアンインストールされたことの検知ができず、Windows Defenderの自動再有効化ができない。
・モジュール・定義ファイルを常時更新しないと、モジュール・定義ファイルが古い状態でWindows Defenderを有効化することになってしまう
以上2点から、Windows Defenderが無効になっていてもなんかタスクは走らせる必要はあるし、モジュールや定義ファイルは常に最新にしなきゃならないと思う。
Re:昔から (スコア:1)
そんなふうに考えていた時期が俺にもありました
> 他のウイルス対策ソフトが動作している
条件で当該ソフトを一時停止しても
タスクマネージャー上では本来のWindows Defenderのプロセスは動作しないようです
謎は深まるばかりです
Re:昔から (スコア:2)
一時停止ではダメです。
それは、セットアップなどで一時的な無効化を意図的にしている訳ですから、Windows Defenderが稼働しては困ります。
サードパーティーのアンチウィルスに含まれるWindowsへの通知プログラムが、
パターン更新出来ないとか、うまく起動してない事をWindowsへ通知する等のトリガが必要です。
例えばサードパーティーのアンチウィルスのサービスのリアルタイムスキャンのサービスを無効化したり、
パターン更新を停止したままにすればお望みの結果になるかと。
# ただし無効化は簡単ではないし、何が起きるか解らないので自己責任でどうぞ。
別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化される? (スコア:0)
そもそもどうやって検出しているのか?
ってどうせ*nixでいうところのpgrepかけてるだけでしょ
んなもんマルウェア作者だったら同名のダミー実行ファイル作るだけの話
それこそマルウェア本体だったりしてな
こんなレジストリひとつ無効になろうと同じこと
Re:別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化さ (スコア:2)
Windows XPからセキュリティ関係用のAPIを用意して、「セキュリティセンター」などの名前でコントロールパネルなどの設定画面でサードパーティー製も含めて何らかのセキュリティソフトが稼働しているかチェックできるようになっているのに今さらすぎる。
うじゃうじゃ
Re:別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化さ (スコア:1)
いくらなんでも勝手に決めつけすぎでは?
例えばMicrosoftはアンチウィルスベンダーにのみ特殊なAPIを公開しているようなので
それによって別ソフトでウイルス対策が行われていると認識するのかもしれないし、他の方法かもしれない
方法なんていくらでもあるのにそのうちで最悪の方法をMSが選択しているはずだと決めつける理由はなんでしょう?
Re:別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化さ (スコア:1)
サードパーティのアンチウイルスソフト向けに、特別な電子署名をしたコードは、
特別なAPIが使える
その特別なAPIをつかうとDefenderが無効化される
Re: (スコア:0)
ふるまい検知とかあるやん
Re: (スコア:0)
Windows の深めのところをいじらせてもらうには、Windowsに登録が必要で、その結果ユーザはWMIを通じて何がアンチウィルスとしてインストールされているか調べることができるようになる。
http://www.wmifun.net/sample/antivirusproduct.html [wmifun.net]
Re: (スコア:0)
clamwin使いなんですが
そんな高尚なAPI呼んでなさげ
もちろんclamインストールしたくらいじゃdefender止まんないし
Re:別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化さ (スコア:1)
リアルタイムスキャンの共存が問題な訳で、リアルタイムスキャナの無いClamWinはこのストーリーとは無関係ですね。
Defender止まったら脆弱になるので止まらないのが正解。
Re: (スコア:0)
そのため、clamはファイル書き込みをトラップしてスキャンすることができないのではないだろうか。
Re: (スコア:0)
得意げに出鱈目を吹聴してみせることで、有益な情報を引き出すメソッドか。
Re: (スコア:0)
暴論で煽るタイプの教えてクンなんて珍しくもなんとも
Re: (スコア:0)
珍しくないから許されるという理屈もないしな
Re: (スコア:0)
許す許さないがどこから出たか知らんが、いちいち解説するほど珍しくもないって話だろ
Re: (スコア:0)
何年遅れで寝言言ってんだお前
OS・Defenderのサポートが打ち切られる時 (スコア:0)
当然、復活するのだろうな。
Re: (スコア:0)
サポートが打ち切られたものにわざわざ仕様変更する理由は?
Re:OS・Defenderのサポートが打ち切られる時 (スコア:1)
停止出来ないと脆弱性によるシステム侵入口になりかねないからかと。
特に圧縮ファイルの展開周りとか、オフライン運用でも喰らいかねないから困るかもね。
Re:OS・Defenderのサポートが打ち切られる時 (スコア:1)
サポートが打ち切られた後に仕様変更する理由にはなってないような
Re:OS・Defenderのサポートが打ち切られる時 (スコア:1)
する義理はないですね。
#3875130 [srad.jp]が望むのは前述 [srad.jp]のような理由があるかもねというだけの話です。
Stuxnet [wikipedia.org]みたいな攻撃手法の入口として、改善されているとはいえ高い権限を持つWindows Defenderは格好の標的ですから。
Re: (スコア:0)
サポート打ち切られてんだから、復活しようがしまいが、もう終わりだろうが。
ノーガード戦法 (スコア:0)
にはできなくなるってことかな?
Re: (スコア:0)
古いwindows10+windows update無効化でおk
#アプデ切るのは基本