За последний месяц я описал два интересных издания Windows 11 – Enterprise G в статье Windows 11 Enterprise G – Что за издание для правительства Китая и зачем оно вам? / Хабр (habr.com), и IoT Enterprise LTSC в статье Windows 11 24H2 IoT Enterprise LTSC – что за зверь, и чем он хорош? / Хабр (habr.com). В комментариях и сообщениях в личку все чаще слышу, что хорош EnterpriseG своей легкостью, в первую очередь выпиленным Защитником и телеметрией, но увы, не имеет локализации. А IoT LTSC тоже хорош и переведен, и быть ему тем на что можно наконец переходить тем, кто еще живет на Windows 7, если бы не Defender.
Способов удалять телеметрию есть много, я обычно просто штатно отключаю при установке то, что дают выключить и не парюсь; в сети есть проекты, вычищающие глубокие хвосты.
С Защитником тоже опробовано много способов борьбы. Защитник с каждой версией становится все более устойчивым к попыткам себя отключить. На старых процессорах Intel (там где программным образом Microsoft пробует устранить уязвимости Intel Spectre и Meltdown) производительность процессора в Windows 11 падает до 30%! Как это безобразие отключить? Никакие методы с сайта Microsoft этого не позволят добиться.
В комментариях тут на Хабре мне писали варианты скриптов, которые у кого-то срабатывают. Но проверив на свежих виртуалках массу решений, большинство из скриптов блокируются Защитником сразу после сохранения файла, остальные не выполняют своей задачи.
По итогам тестирования мной также признаны неработоспособными способы отключения Защитника через ProductPolicy и редактирование MUM файла, описывающего компоненты входящие в издание ОС, так как так или иначе, при перезагрузке или обновлении Защитник возвращается в строй. Встроенные групповые политики (и локальные политики через gpedit.msc) позволяли его отключить в Windows 10, но в Windows 11 встроено значительно больше функций защиты, их нужно отключать более грубо вручную.
Итогом после мозгового штурма на форумах MyDigitalLife я для себя посчитал приемлемым открытое решение ionuttbara/windows-defender-remover (github.com).
Оно есть в исходном коде, если вы желаете посмотреть содержимое, или вы можете загрузить скрипт при помощи Git:
git clone https://github.com/ionuttbara/windows-defender-remover.git
cd windows-defender-remover
Script_Run.bat
Ну а тем, кто далек от разработки предлагается подписанный исполняемый модуль. Встроенный в браузер Edge функционал Defender в зависимости от настроек ОС может предупредить о том, что скачиваемый файл небезопасен:
Но вы все равно сможете его сохранить.
Для небольшого процента систем, где администраторы заранее настроили жесткие политики Windows Defender Application Control вы можете получать сообщение о том, что сохраненное приложение при запуске заблокировано в Device Guard или Application Control. Это можно решить, удалив один и тот же файл в четырех местах (из под администратора в PowerShell:
Remove-Item -LiteralPath "$((Get-Partition | ? IsSystem).AccessPaths[0])Microsoft\Boot\WiSiPolicy.p7b"
Remove-Item -LiteralPath "$env:windir\System32\CodeIntegrity\WiSiPolicy.p7b"
Remove-Item -LiteralPath "$env:windir\Boot\EFI\wisipolicy.p7b"
Remove-Item -Path "$env:windir\WinSxS" -Include *winsipolicy.p7b* -Recurse
В самых редких случаях, когда удаление блокируется Virtualization Based Security (VBS) политиками, придется для начала их отключить командой
bcdedit /set hypervisorlaunchtype off
Когда вы успешно запустите DefenderRemover, вам будет задан вопрос — удалить Защитник со всеми компонентами безопасности (Y), удалить только защитник (A) или только убрать предупреждения (S):
При выборе (А) или (Y) будут отключены и удалены следующие компоненты антивируса:
список определений (это отключит получение обновлений с Windows Update)
Телеметрию Windows Defender SpyNet
Службу антивируса
Фильтр антивируса и сканер руткит драйверов
запланированные задания антивируса
ассоциации меню
спрячет секцию антивирусной защиты из Центра Безопасности
При выборе (S) или (Y) будут отключены следующие компоненты безопасности:
Поддержка Центр Безопасности (Windows Security Center) (службы wscsvc, SgrmBroker, драйверы Sgrm)
Поддержка безопасности виртуализации (VBS, LUA, Exploit Guard, Windows Smart Control, Tamper Protection)
SecHealthUI (UWP приложение)
SmartScreen
Поддержка Pluton и его служб
Дополнительные настройки безопасности (важно на старых процессорах Intel, дает +30% производительности, так как по умолчанию были отключены уязвимости процессора Spectre и Meltdown)
Никаких другие компоненты ОС не трогаются. В том числе Windows Firewall, он же брандмауэр Защитника Windows остается в системе, — его как и раньше можно просто выключить в консоли, если не требуется.
Предусмотрена возможность интегрировать удаление Защитника в процесс установки ОС. Подробнее в первоисточнике.
Там же есть пример PowerShell кода, удаляющего Центр Безопасности из панели Настроек:
Если до удаления оно выглядит в Настройках так:
То после выполнения скрипта остается лишь:
Система стала ощутимо шустрее. Установка обновлений ОС не приводит к возврату Защитника:
Имею самую последнюю версию в итоге:
Специально для примера выбирал Windows 11 SE (она же CloudEdition), как наиболее тесно интегрированную с Защитником. Если вы хотите о нем забыть, — дело пары минут. Это не означает, что вам не нужен антивирус. Установите его после самостоятельно на свой вкус и настройте, в зависимости от профиля работы на ПК.
Я на этом завершаю, всем удачи, ставьте лайк, задавайте вопросы, отвечу.
Комментарии (48)
mrtippler
16.07.2024 06:14+7А можно поинтересоваться, с какой целью от него обычно избавляются?.. Разве он сильно мешает?
akibkalo Автор
16.07.2024 06:14В целом, да сильно мешает. Зачастую он считает некие файлы опасными и не позволяет их сохранить. Если он считает, что эти файлы могут отключить Защитника, то совсем беда, неотключаемо их консоли.
Более интересно, например, что Защитник в Windows 11 пытается исправить потенциальные косяки в процессорах Intel - уязвимости Spectre и Meltdown, просто тупо блокируя часть регистров процессоров. Производительность старых процессоров (и так не быстрых) падает на 30%. Как правило стоны что Windows 11 тормозит там где 10 работала звучат по этому поводу. Теперь это отключаемо. Я добавил это в статью, спасибо за отличный вопрос!
mrtippler
16.07.2024 06:14+2На мой взгляд, разумнее было бы отказаться от использования процессоров, имеющих потенциальные косяки и уязвимости, чем отключать Защитник. Но это мое субъективное мнение.
NikaLapka
16.07.2024 06:14Вы правы, но автор относится к категории людей, которые
git clone https://github.com/ionuttbara/windows-defender-remover.gitcd windows-defender-removerScript_Run.batкак и wget https://github.com/......sh ./script.sh
С одной стороны - пользователь вправе на своём компьютере делать, что ему хочется, но только пока он этим не мешает окружающим: И к сожалению, я не знаю как, кроме ремня и лишения премии, выговора, увольнения, объяснить человеку пытающемуся администрировать Windows через подобные "лайфхаки", что его действия нанесли вред родителям, сотрудникам.
4chemist
16.07.2024 06:14На домашней версии сначала проверить, что BitLocker отключен. Windows домашняя на ноутбуках может быть с включенным шифрованием диска и его надо будет отключить. Далее запускаем любимый дистрибутив Linux Live и, с его помощью, удаляем каталоги "\Program Files\Windows Defender", и "\ProgramData\Microsoft\Windows Defender". Далее создаем ФАЙЛ с именем "Windows Defender" вместо удаленных одноименных каталогов. Можно этим файлам поставить атрибут Read Only. Теперь если попытаться создать каталог "Windows Defender", произойдет ошибка.
На профессиональной версии Windows также делал, но попробую через политики в будущем.
akibkalo Автор
16.07.2024 06:14Сделав такой трюк с удалением папок, вы во-первых лишь от антивируса избавитесь, - в статье указано куча других компонент, которые можно при желании там отключить.
Во-вторых, у вас будет битый CBS, и обновления далее не будут ставиться.4chemist
16.07.2024 06:14Обновления приходят и устанавливаются. Как обычно раз в месяц на два компьютера на профессиональную и домашнюю версию. Единственно уведомление о необходимости включить антивирус есть. Но и оно отключается.
ontop
16.07.2024 06:14На безопасность удаление Defender никак не влияет в теории?
В принципе стоит попробовать, но наверное моя задача максимально снизить количество фоновых процессов, которые никаким образом не задействованы в моём повседневном использовании Windows 11.
akibkalo Автор
16.07.2024 06:14Если вы установите другое решение как антивирус, то не влияет.
Проблема Defender в том, что тот пытается нагадить даже когда его вроде как кнопкой отключаешь.
Но антивирус в большинстве сценариев нужен. Не во всех, даже в бизнесе, но в большинстве.
ZeroBot-Dot
16.07.2024 06:14Будьте готовы, что после этого "скрипта" у вас сдохнет Docker Desktop из-за изменения параметра "hypervisorlaunchtype"
akibkalo Автор
16.07.2024 06:14Скрипт не отключает hypervisorlauchtype, я использую Hyper-V и у меня все работает.
Об отключении было сказано "В самых редких случаях, когда удаление блокируется Virtualization Based Security (VBS) политиками, придется для начала их отключить командой
bcdedit /set hypervisorlaunchtype offЭто реально не частый сценарий. И нужен он скорее на старых слабых машинах, которым не до докера
ZeroBot-Dot
16.07.2024 06:14Я вчера устанавливал докер десктоп и включал эту опцию в Авто, после скрипта опция оказалась Офф.
DJ_URAN
16.07.2024 06:14Код, удаляющий центр безопасности из настроек, у меня не сработал. Как были те самые настройки, так и остались
NickyScout
16.07.2024 06:14+1Осталось определиться - зачем отключать Defender. Т.к. это встроенный в OS антивирус - его производительность и интеграция с OS максимальны (а если это enterprise сегмент - то это еще и Defender for Endpoint, который кратно повышает защиту.). Если присмотреться к квадрату 2023 Gartner, то можно будет заметить что кроме CrowdStrike реальных конкурентов в данный момент нет. А если учеть бесплатность встроенного решения (и уверенность, что оно не будет отправлять данные кому-то еще кроме Microsoft) смысл отключения выглядит сомнительно. Да, на старом железе, в изолированной среде (где минимальна вероятность вирусной атаки или атаки злоумышленников) - можно немного выиграть в производительности. Но дома отключить Defender, чтобы потом искать платные решения (а чем дешевле - тем сомнительнее поставщик)- так себе занятие.
Defender можно тонко настроить - там сотни настроек, включая исключения, которые можно делать для папок и файлов. Если вы видите проблемы с производительностью - посмотрите в Resource Monitor (а если вы опытный администратор - соберите счетчики производительности и логи самого антивируса, поищите статью "Performance analyzer for Microsoft Defender Antivirus"), посмотрите на что тратится основное время. Да, включать дома, на старом железе, компоненты виртуализации для Credential Guard например - это лишнее. Но полностью выключать встроенный антивирус в организации, тем более, чтобы найти сомнительную и платную альтернативу - такое себе. Не рекомендую.
p.s. Пока за десяток лет работы с Defender и его настройками и политиками я видел буквально пару кейсов с производительностью, и это было обычно на девелоперских станциях, замедляло сборку-компиляцию проектов. Лечилось исключением папок для сборки и определенных процессов.p.p.s Отключать телеметрию - это тоже игры для тех, кто не понимает, как работает телеметрия и как она связана с антивирусом. Штатными средствами уровень Security не должен отключаться (на домашних ПК), для корпоративных политик есть варианты. Но, это снижает защиту антивирусом, тем более при отключении MAPS - это вообще ключевая ошибка для неизолированных сред.
NickyScout
16.07.2024 06:14p.p.p.s И можно еще результаты MITRE 2023 посмотреть. И подумать, а надо ли отключать Defender.
akibkalo Автор
16.07.2024 06:14+5Речь не о включении/выключении чего-то, что производитель предлагает как опцию. Речь о тотальном выпиливании куска, от которого плюется большинство домашних пользователей, а производитель это игнорирует и лишь зажимает гайки.
Годами песня одна и та же, монополист решает за пользователя.
И если с браузером он в свое время войну выиграл, а потом был уничтожен в ноль, то с антивирусом мы в начале пути. Если бы была возможность выключить, - или издание с выключенным защитником, не было бы сломано столько копий.
Понимаю, что адепта не переубедить, - но тут не только вопросы производительности на кону. Вопрос недоверия к Microsoft тоже многого стоит. В моем личном случае, когда корпорация вскрыла персональный почтовый ящик пользователя в 2012 и на основании переписки попыталась меня засудить в 2014 говорит мне о том, что в ту корзину я яйца класть не готов. Никакой конфиденциальной информации такому правообладателю я не доверю. И от его навязываемых решений я отнекиваюсь уже по привычке, не всегда будучи объективным. Но это точно мое право, выбрать что у меня будет установлено и как оно будет работать. Если на меня накидывают цепи, я их порву.
Заметка об этом и для таких же энтузиастов. Не для сотрудников Microsoft :)NickyScout
16.07.2024 06:14Так он же сам выключится, если поставить любой другой антивирус - при чем здесь монополист и гайки? API так работает, что при установке альтернативного антивируса, Defender выключается (и включится только после того, как альтернаривный антивирус утратит работоспособность).
Для домашнего пользователя Defender полностью выключается именно так - заменой на другой антивирус (при том, что Real Time мониторинг можно выключить и просто настройками в интерфейсе). Для корпоративного - через групповые политики, через реестр или через MDM.
Если вопрос состоит в том, чтобы перейти на другой антивирус - то достаточно его просто установить. Если же оставить систему без антивируса вообще - то это можно сделать и менее разрушительными методами (тем более, что сейчас OS и антивирус связаны теснее чем раньше, могут перестать работать функции безопасности, которые не предполагалось отключать).
Опасность в том, что после такой статьи школьники бросятся отключать антивирус, а вместо него либо вообще ничего не ставить, либо поставят по первой ссылке из поиска "бесплатный антивирус", а когда у них уведут все эккаунты в стиме, танчиках и телеграме - будут жаловаться, какая плохая и незащищенная операционная система.akibkalo Автор
16.07.2024 06:14Эх, если бы все было так сладко, как нам наливают :)
Увы, даже если я установлю, например, NOD или AVAST, то он заменит Defender лишь как антивирус, коим и является.
А та мразота так и продолжит свои Application Guard, Virtualization Based Security и остальные подлости. Дайте мне кнопку "не использовать системы безопасности Microsoft" и никто это выпиливать не станет.
Но нет, даже упомянутое тобой выключение Real Time Protection, которое я будучи пользователем могу уверенно сделать в консоли временно. Сцука без спроса сам себя включает назад. И политик, чтобы это предотвратить в домашних версиях нет.
Он как раковая опухоль, с каждым годом все больше пожирает. Не всегда злокачественно, но никогда сам не уйдет назад оттуда куда ступил, - только скальпель.
Я верю и надеюсь что Еврокомиссия рано или поздно примет верное решение и обязует корпорацию вырезать с потрохами Защитника из версий N. Вот тогда будет у всех право выбора.
Если школьники массово лезут отключать антивирус, проблема не в школьниках! :)
Einherjar
16.07.2024 06:14+3зачем отключать Defender
Ну мне вот он не нужен совсем, тк мне неоткуда ловить вирусы, и несмотря на все сказки про оптимальную производительность процесс MsMpEng регулярно болтается в верхней части списка процессов, отсортированого по потреблению cpu (собственно иначе быть и не может). И вот из за подобных штук почти все современные ноуты на винде воют, греются и работают от силы час от батареи даже в режиме набора текста в ide, так что если можно отключить ненужные мусорные сервисы вроде антивируса, индексации и прочей неиспользуемой хрени, то почему бы этого не делать.
navion
16.07.2024 06:14+1Он в разы замедляет дисковые I/O из-за чего сделали костыль в виде Dev Drive с отключенным фильтром ФС (WdFilter).
akibkalo Автор
16.07.2024 06:14Дико плюсую обоим комментаторам.
У меня на дедуплицированном диске, где я занимаюсь сборкой и разработкой Защитник был головной болью, пока не смог его выпилить.
Dev Drive пока не пробовал
dartraiden
16.07.2024 06:14мне неоткуда
А софт вы весь ставите из Магазина?
Если нет, то с вами может произойти то же, что и со мной. Я всегда проверяю, что скачиваю софт с официального сайта (хотя, софт может быть и там скомпрометирован, если сайт взломан). Но один раз я поленился и нажал на ссылку на известном форуме, не проверив её. Оказалось, что кто-то подменил ссылку и теперь она ведёт на склейку официального инсталлятора и малвари.
Защитник тогда меня здорово спас.
Einherjar
16.07.2024 06:14А софт вы весь ставите из Магазина?
Да, и с официальных сайтов. Если где то на форуме упоминают программу то я либо ищу в википедии официальный сайт и убеждаюсь что ссылка ведет туда, либо вместо перехода по ссылке просто ищу сайт и на нем кнопку download. Чаще второе, потому что ссылки как правило ведут либо на старые версии или еще хз куда. Если это что то новое и малоизвестное, то и наличие цифровой подписи дистрибутива посмотреть не лишее
dTi
16.07.2024 06:14+1Также как и многие не понимаю: зачем? Речь вроде как идет о домашних пользователях, но эти же пользователи после удаления Defender умудрятся накатить одновременно Касперского Фри и прости господи Аваст, что точно не повысит производительность. Последние 4 года сижу только на Defender, всё ровно. Хотя может быть это ошибка выжившего.
Robolightning
16.07.2024 06:14+1Если я занимаюсь разработкой и всегда слежу откуда скачиваю файлы, нужен ли мне антивирус вообще, как таковой? Имею ввиду, что не знаю точных механизмов его работы, только абстрактно. Допустим действительно ли вирус может проникнуть на компьютер исключительно вследствие перехода по скорректированной ссылке (даже если я ничего не скачал) и действительно ли без антивируса могут перехватить мой трафик? Как я понимаю, Брандмауэр продолжает работать.
Кроме анализа уже существующих на моём компьютере файлов, а также анализа новых, которые скачиваю, приношу с флешки, есть ли от антивируса польза? Ещё ни разу не видел, чтобы он уведомлял меня о проблемах с "вирусами" в случае, если в файлах действительно находился или мог находиться вирус.
Хочу лучше понять какие дополнительные риски могут существовать в современной жизни без какого-либо антивируса вообще, за исключением заражённых файлов
grishkaa
16.07.2024 06:14+1Я в своей виртуалке просто удалил его файлы через режим восстановления, который игнорирует права доступа в NTFS. Куда лучший способ, чем упрашивать его "ну отключись ну позязя".
Sanctuary_s
16.07.2024 06:14Теперь докатились, что на Хабре пишут о том, как через троян сломать себе Windows. Обидно...
Сначала автор распространяет фейковую новость о несуществующей Windows 11 Enterprise G, а теперь уже во все тяжкие пошел.
Интересно, зачем он с таким энтузиастом сначала распространял левый образ, а теперь продвигает ещё и запуск трояна? Думаю, выводы сами можете сделать. Я не понимаю, куда сообщество смотрит, ставя плюсы такой раковой опухоли.
Johan_Palych
16.07.2024 06:14+1Windows 11 and Windows 10 Semi-Annual Channel
https://learn.microsoft.com/en-us/windows-server/get-started/kms-client-activation-keys?tabs=server2022%2Cwindows10ltsc%2Cversion1803%2Cwindows81#windows-11-and-windows-10-semi-annual-channel
Sanctuary_s
16.07.2024 06:14И? Образ паленый был, сделанный левым чуваком, а его преподнесли как официальный. То, что G выйдет, никто и не сомневается. Так к чему комментарий твой?
Johan_Palych
16.07.2024 06:14Сначала автор распространяет фейковую новость о несуществующей Windows 11 Enterprise G
То, что G выйдет, никто и не сомневается.Ты сам то читаешь, что написал? Какой то гсайт про гсборку, которая протекла и все решили(на ттрекерах?), что она подлинная.
oleg5d75
16.07.2024 06:14Работает, проверил на старом 1155 сокете, реально быстрее загружается и интерфейс стал отзывчивей
hqqddy
16.07.2024 06:14Простите, хочется грязно выругаться (при всем понимании статуса автора статьи, но софт писан не им, т.ч. могу). Я этой приложкой как в недавнем прошлом загубил винду, так и сейчас. Она отработала криво по первой опции Y. Логи не смотрел, но при ее выполнении она вызывает PowerShell и в нем скрипт отрабатывает с ошибкой (с какой сказать не могу, потому что окно PowerShell тут же закрывается и происходит дальнейший выпил Защитника). Казалось бы ну и ладно, я же его и хочу выпилить. Но теперь у меня не работает запуск от имени амдинистратора. Вообще. Вызов происходит в любом случае от пользователя, без запроса авторизации. Возможно ли это поправить? В Панели управления попытка включить контроль учетных записей ни к чему не приводит, не запускается. Это не баг, это фича? Если да, то я оконфужен, я не могу например в домене ничего от админа выполнить, ни в реестре поправить что-то, ни более тривиальные вещи сделать. И да, я не исключаю, что это у меня кривые руки и я тупой.
akibkalo Автор
16.07.2024 06:14Что будет, если вы в свойствах, например, иконки PowerShell или CMD в совместимость скажете "Запуск от имени администратора"? Возможно "Для всех пользователей"
У меня установлено именно с Y и нет проблем на 26100 IoT LTSC и 26100 Cloud и 26100 Enterprisehqqddy
16.07.2024 06:14В ярлыке CMD указал запуск от админа - не помогло. Я зашел под учеткой доменного админа и под ней опция контроля учетных записей работает в панели управления (но при вызове приложек от имени админа запрос авторизации все равно не происходит, механизм сломан). Была отключена. Но под учеткой пользователя не работает. Это странно. Возможно косяк случился из-за локализованной винды (у вас наверняка чистая английская? у меня русская, 10.0.19045.4651). И возможно, это решение не сильно предназначено для рабочей станции в домене.
hqqddy
16.07.2024 06:14Мхм... Вроде починил. Надо перезагрузить комп после исправлений под админом (т.е. включить контроль учетных записей на желаемый уровень). Простите. Да сейчас кажется логично что оно все поотключало (мы же этого и пытаемся же сделать, правда ведь? А потом уже включите что вам все же нужно). Добавьте пожалуйста ремарку об этом в статью.
akibkalo Автор
16.07.2024 06:14Не сформулируете более четко, где что добавить?
Я, если честно, не пробовал данное ПО под Windows 10, заметка чисто про Windows 11.hqqddy
16.07.2024 06:14Я думаю, это применимо и к 10, и к 11. Приложение при выпиле дефендера отключает контроль учетных записей, даже если он был включен. Учитывая его (приложения) функционал, это логично. Слава яйцам, отключает, а не выпиливает. Нужно залогинться под учеткой админа и в панели управления включить контроль учетных записей назад. Перезагрузиться, залониться под юзером и работать как ни в чем ни бывало.
NikaLapka
А что Групповые политики уже не модно использовать? Работают, в том числе с самыми последними выпусками Windows 10/11 https://learn.microsoft.com/ru-ru/windows/release-health/release-information версий Pro и выше, где доступны.
akibkalo Автор
Безусловно можно и нужно использовать политики.
Но многие хотят от Защитника избавиться совсем, чего ОС не позволяет.
Даже отключенный политиками как антивирус он вмешивается в многие аспекты безопасности ОС, зачастую способами, не отключаемыми.
Я сам предпочитаю способ политиками, но если есть желание выпилить его к чертям целиком, это можно лишь приветствовать, как кастомизацию под пользователя. В том числе в образе до установки. О чем я и рассказал.