Windows Defender: desativa o tempo real; mantenha a varredura programada e sob demanda

5

Acabei de atualizar para o Win 10 (RTM build). Desativei a proteção em tempo real do AV (Defender) porque não o executo, nunca o fiz e nunca recebi um vírus (e já tenho um computador há 30 anos).

Consegui desativar as verificações em tempo real ativando a Política de Desativação do Defensor da Política de Grupo. Mas isso desativa totalmente o aplicativo. É possível usar este perfil (que usei com o Security Essentials do Win 7) com o Win10 Defender:

  • Verificação em tempo real
  • Verificações agendadas (2AM) ativas
  • On demand (direito de integração do shell click) scans active

?

Ou preciso instalar um scanner de terceiros ? Eu já corro o MBAM Premium, MBAE e EMET (estão protegendo em tempo real, pois o impacto no desempenho é mínimo ), mas eu realmente gostaria de evitar um AV de terceiros.

TIA

    
por Gaia 19.07.2015 / 18:23

1 resposta

4

A configuração de política de grupo " Desativar proteção em tempo real ", localizada em Configuração do Computador \ Modelos Administrativos \ Componentes do Windows \ Windows Defender , deve fazer o que você deseja. / p>

No meu sistema, no entanto, o Antimalware Service Executable continua gerando (e fecha instantaneamente) a cada 10 segundos ou mais quando essa diretiva é habilitada. Muito irritante, mas ainda nada comparado com a lentidão mais geral do sistema causada pela varredura de todos os arquivos em sua unidade repetidamente.

Mantenha-se atento a esta questão relacionada: Como desativar a detecção baseada em assinatura sem desativar outras proteções no Windows Defender . Algo de interesse pode sair.

[Update] O uso do método acima resultará em um arquivo de log crescendo constantemente , localizado em C:\ProgramData\Microsoft\Windows Defender\Support , chamado MPLog-<datetime>.log .
Existe uma maneira de evitar que isso aconteça. Basta definir as políticas a seguir como desativadas, em vez da que mencionei, ou seja, deixar isso intocado:

  • Monitore o arquivo e a atividade do programa no seu computador
  • Analise todos os arquivos e anexos baixados
  • Ativar o monitoramento de comportamento
  • Ativar a proteção de rede contra explorações de vulnerabilidades conhecidas *
  • Ativar as notificações de gravação do volume bruto *
  • Ativar o controle de proteção de informações *

No entanto, aconselho a desativar os últimos 3 itens (marcados com um *). Seu impacto no desempenho também é mínimo.

Essas configurações de política podem ser encontradas no mesmo local que a primeira: Computer Configuration\Administrative Templates\Windows Components\Windows Defender .
Observação: Algumas versões do Windows usam o termo "Endpoint Protection" em vez de "Windows Defender" ".

Se a sua edição do Windows não vier com o Editor de Diretiva de Grupo , a configuração de algumas entradas do Registro fará o truque. Eles estão todos localizados em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection (crie esta chave se ela não existir). Crie as seguintes entradas DWORD (32 bits) e defina-as como 1:

  • DisableOnAccessProtection
  • DisableIOAVProtection
  • DisableBehaviorMonitoring
  • DisableIntrusionPreventionSystem *
  • DisableRawWriteNotification *
  • DisableInformationProtectionControl *

Mais uma vez, eu recomendo que você desative os últimos 3 itens. Deixe-os como 0 ou, melhor ainda, não crie entradas para eles.

Uma reinicialização do sistema é necessária depois de fazer essas alterações.

Apenas para completar, a entrada do Registro para a política "Desativar proteção em tempo real" é chamada DisableRealtimeMonitoring .

[Update 2] Um adendo: O Malwarebytes Anti-Exploit (MBAE) é geralmente incompatível com o EMET (Microsoft Enhanced Mitigation Experience Toolkit). Ele até diz isso ao instalá-lo em um sistema protegido por EMET. Para ver por si mesmo, baixe mbae-test.exe aqui , adicione para a lista de aplicativos protegidos por EMET e tente carregá-lo com o MBAE ativado.
(No entanto, se você usar o EMET apenas para impor regras de todo o sistema - ou seja, DEP e SEHOP - tudo bem. É somente quando se inicia um aplicativo protegido por ambas as soluções que você deve esperar problemas.)

    
por 18.06.2016 / 22:06