Estou interessado em saber se há, teoricamente, alguma forma de alguém com acesso de administrador local a um computador conectado a um domínio desabilitar ou habilitar o Windows Defender, independentemente de qual seja a política de grupo?
Eu entendo que há um driver de modo kernel em ação que impede que alguém edite as chaves de registro específicas, então pode ser que tudo o que é necessário seja uma inicialização de segurança / modo de segurança reduzidos? Se isso não for possível, posso dizer que ficaria chocado - com o Windows, sempre foi sobre 'como' não 'se'!