За последний месяц я описал два интересных издания Windows 11 – Enterprise G в статье Windows 11 Enterprise G – Что за издание для правительства Китая и зачем оно вам? / Хабр (habr.com), и IoT Enterprise LTSC в статье Windows 11 24H2 IoT Enterprise LTSC – что за зверь, и чем он хорош? / Хабр (habr.com). В комментариях и сообщениях в личку все чаще слышу, что хорош EnterpriseG своей легкостью, в первую очередь выпиленным Защитником и телеметрией, но увы, не имеет локализации. А IoT LTSC тоже хорош и переведен, и быть ему тем на что можно наконец переходить тем, кто еще живет на Windows 7, если бы не Defender.
Способов удалять телеметрию есть много, я обычно просто штатно отключаю при установке то, что дают выключить и не парюсь; в сети есть проекты, вычищающие глубокие хвосты.
С Защитником тоже опробовано много способов борьбы. Защитник с каждой версией становится все более устойчивым к попыткам себя отключить. На старых процессорах Intel (там где программным образом Microsoft пробует устранить уязвимости Intel Spectre и Meltdown) производительность процессора в Windows 11 падает до 30%! Как это безобразие отключить? Никакие методы с сайта Microsoft этого не позволят добиться.
В комментариях тут на Хабре мне писали варианты скриптов, которые у кого-то срабатывают. Но проверив на свежих виртуалках массу решений, большинство из скриптов блокируются Защитником сразу после сохранения файла, остальные не выполняют своей задачи.
По итогам тестирования мной также признаны неработоспособными способы отключения Защитника через ProductPolicy и редактирование MUM файла, описывающего компоненты входящие в издание ОС, так как так или иначе, при перезагрузке или обновлении Защитник возвращается в строй. Встроенные групповые политики (и локальные политики через gpedit.msc) позволяли его отключить в Windows 10, но в Windows 11 встроено значительно больше функций защиты, их нужно отключать более грубо вручную.
Итогом после мозгового штурма на форумах MyDigitalLife я для себя посчитал приемлемым открытое решение ionuttbara/windows-defender-remover (github.com).
Оно есть в исходном коде, если вы желаете посмотреть содержимое, или вы можете загрузить скрипт при помощи Git:
git clone https://github.com/ionuttbara/windows-defender-remover.git
cd windows-defender-remover
Script_Run.bat
Ну а тем, кто далек от разработки предлагается подписанный исполняемый модуль. Встроенный в браузер Edge функционал Defender в зависимости от настроек ОС может предупредить о том, что скачиваемый файл небезопасен:
Но вы все равно сможете его сохранить.
Для небольшого процента систем, где администраторы заранее настроили жесткие политики Windows Defender Application Control вы можете получать сообщение о том, что сохраненное приложение при запуске заблокировано в Device Guard или Application Control. Это можно решить, удалив один и тот же файл в четырех местах (из под администратора в PowerShell:
Remove-Item -LiteralPath "$((Get-Partition | ? IsSystem).AccessPaths[0])Microsoft\Boot\WiSiPolicy.p7b"
Remove-Item -LiteralPath "$env:windir\System32\CodeIntegrity\WiSiPolicy.p7b"
Remove-Item -LiteralPath "$env:windir\Boot\EFI\wisipolicy.p7b"
Remove-Item -Path "$env:windir\WinSxS" -Include *winsipolicy.p7b* -Recurse
В самых редких случаях, когда удаление блокируется Virtualization Based Security (VBS) политиками, придется для начала их отключить командой
bcdedit /set hypervisorlaunchtype off
Когда вы успешно запустите DefenderRemover, вам будет задан вопрос - удалить Защитник со всеми компонентами безопасности (Y), удалить только защитник (A) или только убрать предупреждения (S):
При выборе (А) или (Y) будут отключены и удалены следующие компоненты антивируса:
список определений (это отключит получение обновлений с Windows Update)
Телеметрию Windows Defender SpyNet
Службу антивируса
Фильтр антивируса и сканер руткит драйверов
запланированные задания антивируса
ассоциации меню
спрячет секцию антивирусной защиты из Центра Безопасности
При выборе (S) или (Y) будут отключены следующие компоненты безопасности:
Поддержка Центр Безопасности (Windows Security Center) (службы wscsvc, SgrmBroker, драйверы Sgrm)
Поддержка безопасности виртуализации (VBS, LUA, Exploit Guard, Windows Smart Control, Tamper Protection)
SecHealthUI (UWP приложение)
SmartScreen
Поддержка Pluton и его служб
Дополнительные настройки безопасности (важно на старых процессорах Intel, дает +30% производительности, так как по умолчанию были отключены уязвимости процессора Spectre и Meltdown)
Никаких другие компоненты ОС не трогаются. В том числе Windows Firewall, он же брандмауэр Защитника Windows остается в системе, - его как и раньше можно просто выключить в консоли, если не требуется.
Предусмотрена возможность интегрировать удаление Защитника в процесс установки ОС. Подробнее в первоисточнике.
Там же есть пример PowerShell кода, удаляющего Центр Безопасности из панели Настроек:
Если до удаления оно выглядит в Настройках так:
То после выполнения скрипта остается лишь:
Система стала ощутимо шустрее. Установка обновлений ОС не приводит к возврату Защитника:
Имею самую последнюю версию в итоге:
Специально для примера выбирал Windows 11 SE (она же CloudEdition), как наиболее тесно интегрированную с Защитником. Если вы хотите о нем забыть, - дело пары минут. Это не означает, что вам не нужен антивирус. Установите его после самостоятельно на свой вкус и настройте, в зависимости от профиля работы на ПК.
Я на этом завершаю, всем удачи, ставьте лайк, задавайте вопросы, отвечу.
Комментарии (30)
mrtippler
16.07.2024 06:14+5А можно поинтересоваться, с какой целью от него обычно избавляются?.. Разве он сильно мешает?
akibkalo Автор
16.07.2024 06:14В целом, да сильно мешает. Зачастую он считает некие файлы опасными и не позволяет их сохранить. Если он считает, что эти файлы могут отключить Защитника, то совсем беда, неотключаемо их консоли.
Более интересно, например, что Защитник в Windows 11 пытается исправить потенциальные косяки в процессорах Intel - уязвимости Spectre и Meltdown, просто тупо блокируя часть регистров процессоров. Производительность старых процессоров (и так не быстрых) падает на 30%. Как правило стоны что Windows 11 тормозит там где 10 работала звучат по этому поводу. Теперь это отключаемо. Я добавил это в статью, спасибо за отличный вопрос!
mrtippler
16.07.2024 06:14+1На мой взгляд, разумнее было бы отказаться от использования процессоров, имеющих потенциальные косяки и уязвимости, чем отключать Защитник. Но это мое субъективное мнение.
NikaLapka
16.07.2024 06:14Вы правы, но автор относится к категории людей, которые
git clone https://github.com/ionuttbara/windows-defender-remover.git
cd windows-defender-remover
Script_Run.bat
как и wget https://github.com/......sh ./script.sh
С одной стороны - пользователь вправе на своём компьютере делать, что ему хочется, но только пока он этим не мешает окружающим: И к сожалению, я не знаю как, кроме ремня и лишения премии, выговора, увольнения, объяснить человеку пытающемуся администрировать Windows через подобные "лайфхаки", что его действия нанесли вред родителям, сотрудникам.
4chemist
16.07.2024 06:14На домашней версии сначала проверить, что BitLocker отключен. Windows домашняя на ноутбуках может быть с включенным шифрованием диска и его надо будет отключить. Далее запускаем любимый дистрибутив Linux Live и, с его помощью, удаляем каталоги "\Program Files\Windows Defender", и "\ProgramData\Microsoft\Windows Defender". Далее создаем ФАЙЛ с именем "Windows Defender" вместо удаленных одноименных каталогов. Можно этим файлам поставить атрибут Read Only. Теперь если попытаться создать каталог "Windows Defender", произойдет ошибка.
На профессиональной версии Windows также делал, но попробую через политики в будущем.
akibkalo Автор
16.07.2024 06:14Сделав такой трюк с удалением папок, вы во-первых лишь от антивируса избавитесь, - в статье указано куча других компонент, которые можно при желании там отключить.
Во-вторых, у вас будет битый CBS, и обновления далее не будут ставиться.4chemist
16.07.2024 06:14Обновления приходят и устанавливаются. Как обычно раз в месяц на два компьютера на профессиональную и домашнюю версию. Единственно уведомление о необходимости включить антивирус есть. Но и оно отключается.
ontop
16.07.2024 06:14На безопасность удаление Defender никак не влияет в теории?
В принципе стоит попробовать, но наверное моя задача максимально снизить количество фоновых процессов, которые никаким образом не задействованы в моём повседневном использовании Windows 11.
akibkalo Автор
16.07.2024 06:14Если вы установите другое решение как антивирус, то не влияет.
Проблема Defender в том, что тот пытается нагадить даже когда его вроде как кнопкой отключаешь.
Но антивирус в большинстве сценариев нужен. Не во всех, даже в бизнесе, но в большинстве.
ZeroBot-Dot
16.07.2024 06:14Будьте готовы, что после этого "скрипта" у вас сдохнет Docker Desktop из-за изменения параметра "hypervisorlaunchtype"
akibkalo Автор
16.07.2024 06:14Скрипт не отключает hypervisorlauchtype, я использую Hyper-V и у меня все работает.
Об отключении было сказано "В самых редких случаях, когда удаление блокируется Virtualization Based Security (VBS) политиками, придется для начала их отключить командой
bcdedit /set hypervisorlaunchtype off
Это реально не частый сценарий. И нужен он скорее на старых слабых машинах, которым не до докера
ZeroBot-Dot
16.07.2024 06:14Я вчера устанавливал докер десктоп и включал эту опцию в Авто, после скрипта опция оказалась Офф.
DJ_URAN
16.07.2024 06:14Код, удаляющий центр безопасности из настроек, у меня не сработал. Как были те самые настройки, так и остались
NickyScout
16.07.2024 06:14Осталось определиться - зачем отключать Defender. Т.к. это встроенный в OS антивирус - его производительность и интеграция с OS максимальны (а если это enterprise сегмент - то это еще и Defender for Endpoint, который кратно повышает защиту.). Если присмотреться к квадрату 2023 Gartner, то можно будет заметить что кроме CrowdStrike реальных конкурентов в данный момент нет. А если учеть бесплатность встроенного решения (и уверенность, что оно не будет отправлять данные кому-то еще кроме Microsoft) смысл отключения выглядит сомнительно. Да, на старом железе, в изолированной среде (где минимальна вероятность вирусной атаки или атаки злоумышленников) - можно немного выиграть в производительности. Но дома отключить Defender, чтобы потом искать платные решения (а чем дешевле - тем сомнительнее поставщик)- так себе занятие.
Defender можно тонко настроить - там сотни настроек, включая исключения, которые можно делать для папок и файлов. Если вы видите проблемы с производительностью - посмотрите в Resource Monitor (а если вы опытный администратор - соберите счетчики производительности и логи самого антивируса, поищите статью "Performance analyzer for Microsoft Defender Antivirus"), посмотрите на что тратится основное время. Да, включать дома, на старом железе, компоненты виртуализации для Credential Guard например - это лишнее. Но полностью выключать встроенный антивирус в организации, тем более, чтобы найти сомнительную и платную альтернативу - такое себе. Не рекомендую.
p.s. Пока за десяток лет работы с Defender и его настройками и политиками я видел буквально пару кейсов с производительностью, и это было обычно на девелоперских станциях, замедляло сборку-компиляцию проектов. Лечилось исключением папок для сборки и определенных процессов.p.p.s Отключать телеметрию - это тоже игры для тех, кто не понимает, как работает телеметрия и как она связана с антивирусом. Штатными средствами уровень Security не должен отключаться (на домашних ПК), для корпоративных политик есть варианты. Но, это снижает защиту антивирусом, тем более при отключении MAPS - это вообще ключевая ошибка для неизолированных сред.
NickyScout
16.07.2024 06:14p.p.p.s И можно еще результаты MITRE 2023 посмотреть. И подумать, а надо ли отключать Defender.
akibkalo Автор
16.07.2024 06:14+5Речь не о включении/выключении чего-то, что производитель предлагает как опцию. Речь о тотальном выпиливании куска, от которого плюется большинство домашних пользователей, а производитель это игнорирует и лишь зажимает гайки.
Годами песня одна и та же, монополист решает за пользователя.
И если с браузером он в свое время войну выиграл, а потом был уничтожен в ноль, то с антивирусом мы в начале пути. Если бы была возможность выключить, - или издание с выключенным защитником, не было бы сломано столько копий.
Понимаю, что адепта не переубедить, - но тут не только вопросы производительности на кону. Вопрос недоверия к Microsoft тоже многого стоит. В моем личном случае, когда корпорация вскрыла персональный почтовый ящик пользователя в 2012 и на основании переписки попыталась меня засудить в 2014 говорит мне о том, что в ту корзину я яйца класть не готов. Никакой конфиденциальной информации такому правообладателю я не доверю. И от его навязываемых решений я отнекиваюсь уже по привычке, не всегда будучи объективным. Но это точно мое право, выбрать что у меня будет установлено и как оно будет работать. Если на меня накидывают цепи, я их порву.
Заметка об этом и для таких же энтузиастов. Не для сотрудников Microsoft :)NickyScout
16.07.2024 06:14Так он же сам выключится, если поставить любой другой антивирус - при чем здесь монополист и гайки? API так работает, что при установке альтернативного антивируса, Defender выключается (и включится только после того, как альтернаривный антивирус утратит работоспособность).
Для домашнего пользователя Defender полностью выключается именно так - заменой на другой антивирус (при том, что Real Time мониторинг можно выключить и просто настройками в интерфейсе). Для корпоративного - через групповые политики, через реестр или через MDM.
Если вопрос состоит в том, чтобы перейти на другой антивирус - то достаточно его просто установить. Если же оставить систему без антивируса вообще - то это можно сделать и менее разрушительными методами (тем более, что сейчас OS и антивирус связаны теснее чем раньше, могут перестать работать функции безопасности, которые не предполагалось отключать).
Опасность в том, что после такой статьи школьники бросятся отключать антивирус, а вместо него либо вообще ничего не ставить, либо поставят по первой ссылке из поиска "бесплатный антивирус", а когда у них уведут все эккаунты в стиме, танчиках и телеграме - будут жаловаться, какая плохая и незащищенная операционная система.
Einherjar
16.07.2024 06:14+2зачем отключать Defender
Ну мне вот он не нужен совсем, тк мне неоткуда ловить вирусы, и несмотря на все сказки про оптимальную производительность процесс MsMpEng регулярно болтается в верхней части списка процессов, отсортированого по потреблению cpu (собственно иначе быть и не может). И вот из за подобных штук почти все современные ноуты на винде воют, греются и работают от силы час от батареи даже в режиме набора текста в ide, так что если можно отключить ненужные мусорные сервисы вроде антивируса, индексации и прочей неиспользуемой хрени, то почему бы этого не делать.
navion
16.07.2024 06:14Он в разы замедляет дисковые I/O из-за чего сделали костыль в виде Dev Drive с отключенным фильтром ФС (WdFilter).
dartraiden
16.07.2024 06:14мне неоткуда
А софт вы весь ставите из Магазина?
Если нет, то с вами может произойти то же, что и со мной. Я всегда проверяю, что скачиваю софт с официального сайта (хотя, софт может быть и там скомпрометирован, если сайт взломан). Но один раз я поленился и нажал на ссылку на известном форуме, не проверив её. Оказалось, что кто-то подменил ссылку и теперь она ведёт на склейку официального инсталлятора и малвари.
Защитник тогда меня здорово спас.
Einherjar
16.07.2024 06:14А софт вы весь ставите из Магазина?
Да, и с официальных сайтов. Если где то на форуме упоминают программу то я либо ищу в википедии официальный сайт и убеждаюсь что ссылка ведет туда, либо вместо перехода по ссылке просто ищу сайт и на нем кнопку download. Чаще второе, потому что ссылки как правило ведут либо на старые версии или еще хз куда. Если это что то новое и малоизвестное, то и наличие цифровой подписи дистрибутива посмотреть не лишее
NikaLapka
А что Групповые политики уже не модно использовать? Работают, в том числе с самыми последними выпусками Windows 10/11 https://learn.microsoft.com/ru-ru/windows/release-health/release-information версий Pro и выше, где доступны.
akibkalo Автор
Безусловно можно и нужно использовать политики.
Но многие хотят от Защитника избавиться совсем, чего ОС не позволяет.
Даже отключенный политиками как антивирус он вмешивается в многие аспекты безопасности ОС, зачастую способами, не отключаемыми.
Я сам предпочитаю способ политиками, но если есть желание выпилить его к чертям целиком, это можно лишь приветствовать, как кастомизацию под пользователя. В том числе в образе до установки. О чем я и рассказал.