パスワードを忘れた? アカウント作成
14275011 story
Windows

Microsoft、Windows Defender ウイルス対策を無効にするレジストリ設定を削除 30

ストーリー by headless
無効 部門より
Windows Defender(Microsoft Defender)マルウェア対策プラットフォームバージョン4.18.2007.8以降では、Windows Defenderウイルス対策を無効にするレジストリ設定が削除されている(Microsoft Docsの記事Ghacksの記事Softpediaの記事On MSFTの記事)。

このレジストリ設定は「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender」のDWORD値「DisableAntiSpyware」で、これまでは値のデータに「1」をセットすることでWindows Defenderウイルス対策を無効化できていた。元々OEMやIT担当者が別のウイルス対策製品を展開する場合に使用するものだったが、現在は別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化されるため、不要な設定になっていたという。レジストリ設定はグループポリシーで「ローカルコンピューターポリシー→コンピューターの構成→管理用テンプレート→Windowsコンポーネント→Windows Defenderウイルス対策」の「Windows Defenderウイルス対策を無効にします」に対応するため、このグループポリシー設定も無視されることになる。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年08月22日 20時44分 (#3875080)

    defender検知をくぐり抜けてインストールしたらPCを人質に取ったり破壊するようなインチキベンダー対策でないの。
    # トレンドマイクロのことではない…多分。

  • 昔から (スコア:0, オフトピック)

    by hakikuma (47737) on 2020年08月22日 19時34分 (#3875052)

    >現在は別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化されるため

    現在も何も昔からそういう挙動じゃなかったのかな?
    ウイルス対策ソフトが多重で動くなんてないと思うが

    • by m13zz (48724) on 2020年08月23日 2時35分 (#3875188) 日記

      これ以前から気になっていたんですが
      ・タスクマネージャー上はWindows Defender関連らしきプロセスが止まらない
      ・Windows UpdateでWindows Defender関連のモジュール・定義ファイルの更新が入る

      「自動で無効化される」ことについて詳細内容のソースがあればご教示頂けると有難いです。

      親コメント
      • Re:昔から (スコア:5, 参考になる)

        by kei100 (5854) on 2020年08月23日 11時04分 (#3875243)

        これ以前から気になっていたんですが
        ・タスクマネージャー上はWindows Defender関連らしきプロセスが止まらない

        現状、Windows Defenderは、防護関連のブランドになってるので、
        Windows Defender SmartScreen等、アンチウィルス以外の物も存在します。
        また、Microsoft Defender ATPに参加している場合も停止しません。
        プロセス名やコマンド引数を確認すると良いかと。

        ・Windows UpdateでWindows Defender関連のモジュール・定義ファイルの更新が入る

        「自動で無効化される」ことについて詳細内容のソースがあればご教示頂けると有難いです。

        ATPも含めこれが一番解りやすいかな。 [microsoft.com]
        「自動無効モード」というのがそれです。
        読めば解りますが、サーバーだと自動的に無効化されない事に注意が必要です。
        また、上記記事に、

        Microsoft Defender ウイルス対策が自動的に無効になっている場合は、サードパーティ製のウイルス対策製品によって提供された保護が期限切れになった場合、またはウイルス、マルウェア、その他の脅威からリアルタイム保護を提供できない場合に、自動的に有効にすることができます。

        と有るように、勝手に有効化する条件が有ります。
        ネットワーク障害でサードパーティーのアンチウィルス製品のパターン更新が止まったり、
        Windowsに通知する機能がバグって、リアルタイム保護が機能していないと判断された場合は、勝手にWindows Defenderが有効化されます。
        ※自動有効化はサードパーティー製品で、期限切れになったのに放置するエンドユーザーが多かったから仕方ない面も。

        サードパーティー製品がWindowsからどう認識されているかは、Windows セキュリティで確認出来ます。

        親コメント
      • by donadona (37711) on 2020年08月23日 10時27分 (#3875236)

        自動無効とプロセスや自動更新は無関係なのかも?
        他のウイルス対策ソフトが動作しているPCで、そのウイルス対策ソフトをアンインストールするシチュエーションを考えてみたんだけど。
        ・Windows Defender関連らしきタスクが止まっていると、ウイルス対策ソフトがアンインストールされたことの検知ができず、Windows Defenderの自動再有効化ができない。
        ・モジュール・定義ファイルを常時更新しないと、モジュール・定義ファイルが古い状態でWindows Defenderを有効化することになってしまう
        以上2点から、Windows Defenderが無効になっていてもなんかタスクは走らせる必要はあるし、モジュールや定義ファイルは常に最新にしなきゃならないと思う。

        親コメント
        • by m13zz (48724) on 2020年08月23日 10時52分 (#3875240) 日記

          そんなふうに考えていた時期が俺にもありました

            > 他のウイルス対策ソフトが動作している
          条件で当該ソフトを一時停止しても
          タスクマネージャー上では本来のWindows Defenderのプロセスは動作しないようです

          謎は深まるばかりです

          親コメント
          • by kei100 (5854) on 2020年08月23日 11時18分 (#3875247)

            一時停止ではダメです。
            それは、セットアップなどで一時的な無効化を意図的にしている訳ですから、Windows Defenderが稼働しては困ります。
            サードパーティーのアンチウィルスに含まれるWindowsへの通知プログラムが、
            パターン更新出来ないとか、うまく起動してない事をWindowsへ通知する等のトリガが必要です。

            例えばサードパーティーのアンチウィルスのサービスのリアルタイムスキャンのサービスを無効化したり、
            パターン更新を停止したままにすればお望みの結果になるかと。
            # ただし無効化は簡単ではないし、何が起きるか解らないので自己責任でどうぞ。

            親コメント
  • そもそもどうやって検出しているのか?
    ってどうせ*nixでいうところのpgrepかけてるだけでしょ
    んなもんマルウェア作者だったら同名のダミー実行ファイル作るだけの話
    それこそマルウェア本体だったりしてな

    こんなレジストリひとつ無効になろうと同じこと

  • by Anonymous Coward on 2020年08月22日 22時46分 (#3875130)

    当然、復活するのだろうな。

  • by Anonymous Coward on 2020年08月23日 0時21分 (#3875163)

    にはできなくなるってことかな?

    • by Anonymous Coward

      古いwindows10+windows update無効化でおk

      #アプデ切るのは基本

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...