Microsoft Defender unter Windows 10 nicht mehr abschaltbar

[English]Microsoft hat die Möglichkeit für Administratoren, den in Windows enthaltenen Defender zu deaktivieren, jetzt deaktiviert. Dies soll es Malware erschweren, den Virenschutz abzuschalten. Gleichzeitig werden die betreffenden Registrierungseinträge und Gruppenrichtlinien wirkungslos.


Anzeige

Ich hatte es bereits die Tage bei den Kollegen von deskmodder.de mitbekommen die in diesem Beitrag berichteten, dass der Eintrag DisableAntiSpyware in den Einstellungen des Microsoft Defender seit August 2020 nicht mehr wirke. Dort konnte ich mir keinen wirklichen Reim drauf machen – erst mit dem Artikel bei Dr. Windows habe ich dann mitbekommen, dass sich etwas beim Microsoft Defender unter Windows 10 geändert habe. Martin wies auf widersprüchliche Hinweise im Supportbeitrag hin. Nun hat mich Blog-Leser Andreas E. über Facebook noch auf das Thema aufmerksam gemacht (danke dafür):

Achja: Der Defender AV kann nicht mehr via GPO auf Windows 10 Clients deaktiviert werden. Dies hat Microsoft it dem aktuellen Patchday an alle W10 Clients ausgerollt!!

Dies bedeutet 3rd Party AVs MÜSSEN zwingend die von MS bereitgestellten APIs nutzen um sich sauber zu registrieren. Ansonsten wird es zu Komplikationen kommen!

Andreas hatte dann noch den Link auf den Microsoft-Supportbeitrag DisableAntiSpyware gepostet. Der Beitrag wurde am 21.8.2020 aktualisiert, und enthält folgenden Hinweis:

DisableAntiSpyware is intended to be used by OEMs and IT Pros to disable Microsoft Defender Antivirus and deploy another antivirus product during deployment. This is a legacy setting that is no longer necessary as Microsoft Defender antivirus automatically turns itself off when it detects another antivirus program. This setting is not intended for consumer devices, and we’ve decided to remove this registry key. This change is included with Microsoft Defender Antimalware platform versions 4.18.2007.8 and higher KB 4052623. Enterprise E3 and E5 editions will be released at a future date. Note that this setting is protected by tamper protection. Tamper protection is available in all Home and Pro editions of Windows 10 version 1903 and higher and is enabled by default. The impact of the DisableAntiSpyware removal is limited to Windows 10 versions prior to 1903 using Microsoft Defender Antivirus. This change does not impact third party antivirus connections to the Windows Security app. Those will still work as expected.

Die Option DisableAntiSpyware war eigentlich für OEMs und IT-Professionals gedacht, um den Microsoft Defender Antivirus (auf Servern, wie weiter unten im Text des Supportbeitrags steht) abzuschalten, wenn andere Antivirus-Produkte installiert wurden. Die Option war aber nie für die Consumer-Plattformen (Windows 10 Home und Pro) vorgesehen. Microsoft hat nun aber beschlossen, dass diese Option in der Registrierung überflüssig sei. Denn der Defender erkennt, wenn eine andere Antivirus-Software sich über die vorgesehene API registriert und schaltet sich dann selbst ab.

Microsoft hat daher die Auswertung des Registrierungsschlüssels zum Deaktivieren des Defenders ab der Microsoft Defender Antimalware Platform Version 4.18.2007.8 und höher über das Update KB4052623 entfernt. Damit wir der Schlüssel:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender

und der dort eventuell vorhandene Wert DisableAntiSpyware nicht mehr wirksam (solange Tamper Protection eingeschaltet ist, siehe auch den Kommentar von Bernhard). Auch Gruppenrichtlinien (‘Turn off Microsoft Defender Antivirus’), die über diesen Wert den Defender deaktivieren sollen, wirken dann nicht mehr. Das Abschalten des Defender durch Malware konnte ja seit Windows 10 Version 1903 durch den Manipulationsschutz (Tamper Protection) unterbunden werden.

Bleeping Computer berichtet hier, dass Malware zwar den Registrierungseintrag DisableAntiSpyware setzen kann. Dieser Wert wird jedoch durch den Manipulationsschutz entfernt. Allerdings bleibt der Defender jedoch für die aktuelle Sitzung weiterhin deaktiviert.

Der Microsoft-Supportbeitrag enthält aber widersprüchliche Informationen – der Textkasten am Anfang weist auf Clients hin, während im Text die Info steht, dass der Registrierungseintrag nur für Server gelte. Zudem kann der Defender weiterhin mit ‘defender control’ von sordum deaktiviert werden – siehe nachfolgende Kommentare.

Ähnliche Artikel:
Windows 10 V1903 mit Windows Defender Tamper-Protection
Tamper Protection auf ältere Windows 10-Versionen portiert
Windows 10 V1903: Microsoft aktiviert Tamper Protection


Anzeige


Dieser Beitrag wurde unter Virenschutz, Windows abgelegt und mit Defender, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

32 Antworten zu Microsoft Defender unter Windows 10 nicht mehr abschaltbar


  1. Anzeige
  2. Oli W. sagt:

    Leicht OFF TOPIC, dennoch passend zum Thema … wer den Defender mal kurz oder dauerhaft bequem an-/abschalten möchte: https://www.sordum.org/9480/defender-control-v1-6

    • cordin sagt:

      yo, viel Lärm um wenig.
      Defender mit ‘defender control’ (sordum.org) weiter abschaltbar.
      Wäre passender gewesen.

      • Günter Born sagt:

        Klar, die Admins in Firmen holen sich das Zeug auf die Maschinen …

        • cordin sagt:

          wer muss denn in FIRMEN (!) den defender abschalten, normale user nicht, niemals, die sollen das gar nicht. Der admin schon mal eher, aber der kann defender control auf nem stick mitnehmen. Seh da jetzt eig. kein Prob.

        • Dat Bundesferkel sagt:

          Die Turnschuhadministratoren aus der Nachbarschaft machen das sicherlich. :D

          … und alle Anderen kriegen von der Geschäftsleitung via BSI einen auf die Nüsse.

  3. fre4kyC0de sagt:

    Moin,

    der Dr. Windows-Link ist irgendwie defekt; er leitet auf hxxp://r/

    Viele Grüße

  4. Anzeige

  5. fre4kyC0de sagt:

    Dann werde ich jetzt wohl die Holzhammer-Methode verwenden und für meine Testx/Bastel-VMs die Dienste (Sense, WdBoot, WdFilter, WdNisDrv, WdNisSrv, WinDefend) im abgesicherten Modus via regedit abschalten (Start=dword:00000004) sowie die Aufgaben in der Aufgabenplanung deaktivieren…

    Viele Grüße

  6. Janami25 sagt:

    Da wird noch mehr kommen…Bald wird man den Cloudbasierten Schutz und entsprechend die automatische Übermittlung von Beispielen auch nicht mehr deaktivieren können.
    Und wenn persönliche Daten mit übertragen werden…So what, dient ja alles der Sicherheit und man bekommt ja (angeblich) eine Meldung. ;)

    Schon lange nerven diese Funktionen und wollen permanent aktiviert werden, dabei reicht der Scanner vollkommen, es gibt permanent frische Virendefinitionen, und ich möchte nichts mit der Cloud oder Datenerhebung zu tun haben.

    Ich habe ja nichts gegen den Defender und finde es auch gut, das er standardmässig aktiv ist. Es gibt und gab aber auch genügend Beispiele, wo es Probleme gab und man ihn deaktivieren musste.

    So ist das mit den Zwangsupdates, Microsoft kann inzwischen machen, was es will. Gibt ja sowieso keine Behörde, die sich für irgend etwas interessiert, was Microsoft macht.

    Die Pro Version ist dahingehend in meinen Augen sowieso keine echte “Pro” mehr und total beschnitten und verkrüppelt durch Microsoft. Was nützen einem die Gruppenrichtlinien in der Pro einem Kleinunternehmen, wenn man sowieso alles wichtige inzwischen mit mehr administrieren kann ? Die Pro gibt faktisch es nur noch auf dem Papier, und ist zur Enterprise “mutiert”. Und die kann sich kein Kleinunternehmer leisten.

    Glashaus pur, die angebliche Verbesserung bei den Einstellungen zum Datenschutz in Windows können sie sich sparen, bei der Home und Pro weiss eh kein Mensch was im Hintergrund übertragen wird, und deaktivierbar ist die Telemetrie sowieso nicht.

    • Info sagt:

      … bevor ich nach längerer Pause… online Arbeite, einmal vorher via Klick(Tray) die aktuellen Definitionen holen – und gut! Da braucht es keine permanente Cloud-Schnüffelfunktion…

      Bei öffentlich zugänglichen oder Firmenrechnern kann man eine solche Vorgehensweise natürlich nicht erwarten – da ist im Zweifelsfall der Abgleich mit aktuellen Cloud-Informationen durchaus sinnvoll.

      • Mira Bellenbaum sagt:

        Bin der gleichen Meinung! Der Defender an sich, ist schon OK, aber das ganze Cloudgedöhns, geht mir gehörig gegen den Strich. Denke schon eine ganze Weile darüber nach, mir ein Pi-hole zuzulegen. Aber schon wieder ein System was gepflegt werden will. Echt ätzend.

  7. Markus S. sagt:

    Und was mache ich, wenn ich kurzzeitig den Echtzeitschutz deaktivieren möchte? Soll ich das Teil dann gleich deinstallieren?
    Das Administrieren und Benutzen von PCs wird auch immer mehr eine Plage.

    • Info sagt:

      Vermutlich dann wie immer mit den entsprechenden Rechten?

      TRAY-ICON/”Sicherheitsdashboard anzeigen”/”Viren- & Bedrohungsschutz”/”Einstellungen für Viren- & Bedrohungsschutz”/Echtzeitschutz [AUS]

      Schaltet sich aber automatisch nach Neustart und nach gewisser Zeit wieder ein!

    • deoroller sagt:

      Man muss jetzt etwas installieren, um den Defender deaktivieren zu können. Entweder das Tool Defender Control oder ein 3rd Party AV-Programm.
      Ich fürchte, dass sich MS mit diesem Schritt selbst in Knie schießt, weil Leute, die aus irgendwelchen Gründen das AV deaktivieren, wenn auch nur temporär und auf ihre Gewohnheiten nicht verzichten wollen, über Alternativen nachdenken.

  8. oli sagt:

    Noch eine gute Nachricht: Das scheint wirklich nur Windows 10 zu betreffen, bei Windows Server 2019 blieb der Defender deaktiviert. Smartscreen hab ich ebenfalls deaktiviert, da allerdings noch zusätzlich rigoros über Dateirechte.

  9. Anzeige

  10. DavidXanatos sagt:

    Also noch ein weiteres Zeichen das es zeit ist Windows 10 adieu zusagen,
    bzw für die Leute die das nicht können, auf Windows Server umzusteigen.

    David X.

    • Martin sagt:

      Da tut sich aber unter Umständen ein neues Problem auf: Nicht jede Softwarevariante läuft unter einer Server-Version. Oft ist das bei kostenlosen oder Home Varianten so. Da müsste man dann die oft weitaus teurere Server-Variante kaufen.

  11. Bernhard Diener sagt:

    Die Angaben sind falsch.
    Sobald Tamper Protection ausgeschaltet ist, wirkt weiterhin sowohl der Registrywert, als auch die GPO. Getestet auf 19041.450

  12. Aaron sagt:

    Viel Wind um nix, oder? Der Artikel ist auch nicht korrekt… und die Quellen scheinen auch schneller “Drama” zu denken statt mal ein bisschen nachzulesen…

    Defender lässt sich ganz einfach – auch per GPO – dauerhaft deaktivieren. Selbst mit dem neuesten Win10 (20H2) geht das noch ganz problemlos.

    Es muss lediglich der Manipulationsschutz LOKAL und PER GUI deaktiviert werden.

    Das ist übrigens schon länger so und auch bei MS so dokumentiert.
    Letztes Update am 5.6.2019(!) : https://support.microsoft.com/de-de/help/4490103/windows-10-prevent-changes-to-security-settings-with-tamper-protection

    Es gibt eben keinen remote ausführbaren Weg, den Manipulationsschutz zu deaktiveren – das ist Teil des Sicherheitskonzepts der MS Defender-Lösung. Daher greifen GPOs und Registry-Keys eben nicht, solange dieser noch aktiviert ist.

    PS: in dem verlinkten MS-Dokument steht sogar explizit drinne, dass diese Änderung NUR Server betrifft, keine Client-Devices… (farbiger Kasten unten) https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/security-malware-windows-defender-disableantispyware?fbclid=IwAR1cZlpwxyZOLD5vzLB8BYdVqeIGzaq8joRwOGaFs_fAlOn8HH3hu2uL97w

  13. fre4kyC0de sagt:

    Ein paar Experimente später komme ich zu folgenden Ergebnissen:

    Umgebung: Windows 10 2004 (19041.450); Windows Defender Engine 4.18.1909.6 (ohne Update), 4.18.2005.5 bzw, 4.18.2007.8; Gesamtsystem in einer VM und vollständig offline, Updates wurden mittels MSU-Dateien und UpdatePlatform_*.exe installiert

    4.18.1909.6 -> Setzen von “DisableAntiSpyware” deaktiviert die gesamte Virenschutz-Seite als “von der Organisation deaktiviert”
    4.18.2005.5 -> verhält sich identisch zu 4.18.1909.6
    4.18.2007.8 -> Seite wird normal aufgebaut; die “Echtzeitschutz”-Einstellung verhält sich wie ohne Richtlinie (Auto-Reaktivierung nach Neustart, …); Richtlinie wird ignoriert

    Eine etwas komplexere Richtlinie, die weitere Werte setzt (DisableRoutinelyTakingAction, AllowCloudProtection, DisableBehaviorMonitoring, DisableOnAccessProtection, DisableScanOnRealtimeEnable, DisableRealtimeMonitoring, SpyNetReporting, SubmitSamplesConsent in diversen Unterschlüsseln des “Policies”-Schlüssels) sperrt die einzelnen Einstellung in einem kurzen Experiment trotzdem; der Echtzeitschutz wird auch nicht automatisch wieder eingeschaltet.

    Das gesamte Verhalten zeigt sich jedoch nicht konsistent. Teilweise verhält sich die 4.18.2007.8 auch wie die 4.18.2005.5 (vollständige Deaktivierung), teilweise wird auch die komplexere Richtlinie ignoriert. Es scheint mir aktuell so, dass dies davon abhängt, ob die Werte gesetzt werden, nachdem das Update auf 4.18.2007.8 durchgeführt wurde oder sie bereits vorher vorhanden waren.

    Ich kann zur Zeit leider nicht weiter testen, würde aber die Links zu der UpdatePlatform_*.exe für die 4.18.2005.5 und 4.18.2007.8 zur Verfügung stellen.

    Viele Grüße

  14. Ralf Münz sagt:

    In einer VDI Umgebung mit agentlosem Endpointschutz sollte der Defender schon abschaltbar sein ….

  15. Packo sagt:

    Warum nicht einfach eine Fake-EXE mit Batch-To-EXE erstellen und die dann unter Windows als AV-Alternative registrieren?

    Dann schaltet Windows automatisch alles ab.

    • Marc Gutt sagt:

      Gibt es keinen fertigen Fake/Dummy Anti Virus? Da muss doch irgendjemand schon was gebastelt haben. Ich benötige etwas für eine VM, die sicher keinen Virenschutz braucht, aber sicher auch keinen dauerhaften Scan von Dateibewegungen. Gruß

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.