Как отключить безопасность windows powershell

Microsoft Defender Antivirus (Защитник) — это встроенный антивирус в Windows 10/11 и Windows Server, который включен и настроен по умолчанию. В этой статье мы рассмотрим, как полностью отключить Защитник в Windows 11 или временно (приостановить).

В Windows 11 и 10 при установке стороннего антивируса, встроенный стандартный Защитника Microsoft должен отключаться. В некоторых случаях это не происходит автоматически и вам может потребоваться ручное отключение Microsoft Defender.

Временная приостановка защиты Microsoft Defender в Windows 11 и 10

В некоторых случаях вам может понадобится временно отключить защиту Microsoft Defender, не затрагивая важные системные службы. Например, запуск или установка какой-то системной программы или утилиты блокируется Microsoft Defender. Чтобы запустить такое приложение, нужно остановить защиту Windows Defender в реальном времени.

1. Перейдите в следующий раздел настроек Windows 11: Settings -> Privacy and Security -> Windows Security -> Open Windows Security (или выполните команду быстрого доступа к настройкам
   ms-settings:windowsdefender
   );

   Если приложение службы безопасности Microsoft Defender не запускается, его можно восстановить (под капотом находится UWP приложение
   Microsoft.SecHealthUI
   ).

2. Откройте раздел Virus and threat protection, и нажмите на кнопку Manage Settings в разделе Virus and Threat protection settings;
   

   Картинка с сайта: winitpro.ru

3. Переведите переключатель Real-time protection в положение Off;
4. Подтвердите приостановку антивирусной защиты в окно с подтверждением повышения привилегий UAC.

Чтобы восстановить защиту компьютера Windows Defender, нужно включить переключатель. Также защита в реальном времени Microsoft Defender будет включена автоматически после перезагрузки компьютера.

Ранее мы рассматривали, как управлять настройками антивируса Windows Defender с помощью PowerShell. В статье была рассмотрена PowerShell команда для отключения защиты в реальном времени:

Set-MpPreference -DisableRealtimeMonitoring $true

Однако это команда не отрабатывает, как вы ожидаете в Windows 11 и последних билдах Windows 10. Дело в том, что в Windows 10, начиная с билда 1903, по умолчанию включена новая фича Defender, которая называется Microsoft Defender Tamper Protection (Защита от подделок).

Tamper protection обеспечивает дополнительную защиту основных элементов безопасности Microsoft Defender. В частности, она блокирует несанкционированное изменение настроек антивируса, приостановку защиты в реальном времени, отключение облачной защиты. Это означает, что при включенной Защите от подделок вы не сможете отключить Real Time Protection в Microsoft Defender с помощью PowerShell.

Отключить Tamper Protection можно только вручную из графической панели управления Windows Security.

Перейдите в раздел настроек Virus and threat protection settings, промотайте список компонентов и измените переключатель параметра Tamper Protection на Off.

Картинка с сайта: winitpro.ru

После отключение Tamper Protection вы сможете отключить защиту в реальном времени указанной выше командой PowerShell.

Как полностью отключить Защитник Defender в Windows 11 и 10?

В ранних билдах Windows 10 и в Windows Server 2016 можно было полностью отключить Windows Defender через параметр групповой политики Turn off Windows Defender Antivirus в разделе Computer Configurations -> Administrative Template -> Windows Component -> Windows Defender Antivirus редактора локальных групповых политик gpedit.msc. Или ключом реестра DisableAntiSpyware в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, соответствующий этому параметру GPO:

New-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender” -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force

Для отключение защиты в реальном времени использовалась политика Turn on behavior monitoring или параметр реестра DisableBehaviorMonitoring =1 в указанной выше ветке реестра.

Картинка с сайта: winitpro.ru

Во всех билдах, начиная с Windows 10 1903, и в Windows 11 эти параметры GPO и ключи реестра нельзя использоваться для отключения Microsoft Defender, так как его настройки защищены новой опцией Tamper Protections (рассмотрена выше). Методы, используемые ранее для отключения Microsoft Defender Antivirus, не работают в Windows 11.

Для полного отключения компонентов Windows Defender нужно загрузить ваш компьютер в безопасном режиме. Для этого:

1. Запустите утилиту
   msconfig
   ;
2. Перейдите на вкладку Boot;
3. Выберите опцию Safe boot -> Minimal в разделе настройки параметров загрузки;
4. Нажмите OK и перезагрузите компьютер;
   

   Картинка с сайта: winitpro.ru

5. Ваш компьютер загрузится в безопасном режиме;
6. Теперь нужно открыть редактор реестра (
   regedit.exe
   ), перейдти в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services и отключить запуск следующих служб:
   • Sense
   • WdBoot
   • WdFilter
   • WdNisDrv
   • WdNisSvc
   • WinDefend

   Для этого нужно изменить значение параметра Start на 4;

   

   Картинка с сайта: winitpro.ru

   Измените параметр Start для всех указанных служб вручную или воспользуйтесь скриптом PowerShell:

   $regpath='HKLM:\SYSTEM\CurrentControlSet\Services'
Set-ItemProperty -Path ($regpath+"\WinDefend") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\Sense") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\WdFilter") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\WdNisDrv") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\WdNisSvc”) -Name Start -Value 4

   Чтобы включить Microsoft Defender в Windows, нужно установить следующие дефолтные значение параметра Start в ветке каждой службы:

   • Sense — 3
   • WdBoot — 0
   • WdFilter — 0
   • WdNisDrv — 3
   • WdNisSvc — 3
   • WinDefend — 2
7. Запустите msconfig и отключите безопасный режим, перезагрузите компьютер в обычном режиме;
8. Отключите все четыре задания в разделе Microsoft –> Windows –> Windows Defender Task Scheduler (
   taskschd.msc
   );
   

   Картинка с сайта: winitpro.ru

   Get-ScheduledTask “Windows Defender Cache Maintenance” | Disable-ScheduledTask
Get-ScheduledTask “Windows Defender Cleanup” | Disable-ScheduledTask
Get-ScheduledTask “Windows Defender Scheduled Scan” | Disable-ScheduledTask
Get-ScheduledTask “Windows Defender Verification” | Disable-ScheduledTask

Можно отключить задания планировщика с помощью PowerShell:

Запустите приложение Windows Security и убедитесь, что антивирус Microsoft Defender теперь отключен. Здесь должна появиться надпись Threat service has stopped. Restart it now (Служба работы с угрозами остановлена).

Картинка с сайта: winitpro.ru

Итак, мы рассмотрели, как отключить защиту Microsoft Defender в Windows 10 и 11.

To disable Windows Defender using PowerShell, you can execute the following command:

Set-MpPreference -DisableRealtimeMonitoring $true

Understanding Windows Defender

What is Windows Defender?

Windows Defender is a built-in antivirus program that comes with Windows operating systems. It plays a crucial role in protecting your computer against malware, spyware, and other malicious threats. With features such as real-time protection, periodic scanning, and cloud-powered protection, Windows Defender aims to offer comprehensive security for your system.

Why Disable Windows Defender?

While Windows Defender is a valuable security tool, there may be specific circumstances in which disabling it is necessary. For instance:

• Software Compatibility Issues: Some applications may conflict with the real-time protection feature, leading to malfunctions.
• Performance Concerns: On lower-spec machines or during resource-intensive tasks, you might want to temporarily disable Defender to improve performance.

However, it’s important to remember that disabling Windows Defender exposes your system to potential threats. Always consider the risks before proceeding.

Картинка с сайта: powershellcommands.com

Remove Defender PowerShell: A Step-by-Step Guide

PowerShell: An Introduction

What is PowerShell?

PowerShell is a powerful task automation and configuration management framework developed by Microsoft. It combines the functionality of a command-line shell with the benefits of a scripting language, allowing users to perform complex system administration tasks efficiently. With its extensive set of built-in cmdlets, PowerShell enables users to handle everything from managing system processes to automating routine tasks.

Why Use PowerShell to Disable Windows Defender?

Using PowerShell to disable Windows Defender offers several advantages, including:

• Efficiency: PowerShell commands can be executed quickly, saving time when compared to UI-based methods.
• Scripting: You can automate tasks with scripts, making it easier to manage multiple systems or conduct repetitive tasks without manual intervention.

Картинка с сайта: powershellcommands.com

Install Windows Updates PowerShell: A Simple Guide

Prerequisites

Before you disable Windows Defender using PowerShell, ensure you meet the following prerequisites:

• Administrator Permissions: You must have administrative rights on your Windows system.
• Compatible PowerShell Version: Ensure your PowerShell version is suitable (typically PowerShell 5.1 or later).

Step-by-Step Guide

Opening PowerShell

To get started, you’ll first need to open PowerShell with administrative privileges. Follow these steps:

1. Click on the Start Menu.
2. Type «PowerShell» in the search bar.
3. Right-click on Windows PowerShell and select Run as administrator.

You can also run the following command in the Run dialog to launch PowerShell with elevated permissions:

Start-Process PowerShell -Verb RunAs

Command to Disable Windows Defender

Once you have PowerShell open with the appropriate permissions, you can execute the command to disable Windows Defender’s real-time monitoring. Use the following command:

Set-MpPreference -DisableRealtimeMonitoring $true

This command effectively modifies the Windows Defender preferences to turn off real-time protection.

Verifying Windows Defender Status

Check Windows Defender Status

To verify whether Windows Defender has been successfully disabled, you can check its current status using:

Get-MpPreference | Select-Object -ExpandProperty DisableRealtimeMonitoring

Understanding Output

The output will return either `True` or `False`. If it shows True, that means real-time monitoring is disabled. If it shows False, Windows Defender is still active.

Картинка с сайта: powershellcommands.com

Force Windows Update PowerShell: A Quick Guide

Alternate Methods to Disable Windows Defender

Using the Windows Security Interface

If you prefer a graphical approach, you can disable Windows Defender manually through the Windows Security interface:

1. Go to Settings > Update & Security > Windows Security > Virus & threat protection.
2. In the “Virus & threat protection settings” section, click on Manage settings.
3. Toggle the switch under Real-time protection to turn it off.

Group Policy Editor

For users on Windows Pro or Enterprise editions, you can also disable Windows Defender through the Group Policy Editor:

1. Press Windows + R to open the Run dialog.
2. Type `gpedit.msc` and hit Enter.

Navigate to Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus. Here you can disable it.

Картинка с сайта: powershellcommands.com

Check Windows Version PowerShell: A Simple Guide

Re-enabling Windows Defender

Importance of Re-enabling

After completing necessary tasks that required disabling Windows Defender, remember to re-enable it. Keeping your antivirus active is vital for maintaining system security against malware and other threats.

Command to Re-enable

To turn Windows Defender back on, use the following command in PowerShell:

Set-MpPreference -DisableRealtimeMonitoring $false

Verifying Re-enabling

Just like before, you can verify that Windows Defender is operational again with the same command for checking status:

Get-MpPreference | Select-Object -ExpandProperty DisableRealtimeMonitoring

Картинка с сайта: powershellcommands.com

Unlocking PWD in Windows PowerShell: A Quick Guide

Common Errors and Troubleshooting

Common Issues Encountered

While disabling Windows Defender using PowerShell is generally straightforward, common issues can arise, such as:

• Permission Denied Errors: Ensure you are running PowerShell as an administrator.
• Command Not Found: Double-check your PowerShell version; you may need to update it or install necessary modules.

Troubleshooting Steps

If you encounter issues, consider the following troubleshooting steps:

• Restart PowerShell and try executing the command again.
• Verify that you have the latest updates for your operating system and PowerShell.
• Check for other security software that may interfere with Windows Defender settings.

Картинка с сайта: powershellcommands.com

Mastering Wget in Windows PowerShell for Easy Downloads

Conclusion

Disabling Windows Defender using PowerShell is an efficient way to manage your system’s security settings. Always take the time to understand the implications and make sure you re-enable your antivirus protection once you’re done. With this guide, you now have the knowledge you need to navigate PowerShell commands effectively as you learn more about the powerful capabilities of this tool.

Картинка с сайта: powershellcommands.com

Windows Open PowerShell Here: Your Quick Guide

Additional Resources

For further information, check Microsoft’s official documentation and additional PowerShell tutorials that can enhance your skills in system management.

Картинка с сайта: powershellcommands.com

Enable WinRM PowerShell: A Quick Guide to Setup

FAQs

What are the risks associated with disabling Windows Defender?
Disabling Windows Defender exposes your system to malware and other security threats. Always ensure that you have an alternative protection solution if you turn off Defender.

Can I disable Windows Defender temporarily?
Yes, you can disable it temporarily using the methods outlined above. Just be sure to re-enable it as soon as possible.

How do I turn on Windows Defender after disabling it?
You can turn it back on using the PowerShell command provided in the article, or you can reinstate it through the Windows Security interface.

Время на прочтение5 мин

Количество просмотров28K

Кажется не так давно это было, примерно в 2015 году, мы начали слышать о хакерах, не использовавших вредоносных программ внутри периметра атакуемой цели. А использовали они то, что было под рукой – это были различные инструменты, находившиеся на целевом сайте. Это оказалось идеальным способом, чтобы сделать свое «грязное дело» не поднимая лишнего «шума».

Этот подход в наше время набрал обороты и стал мейнстримом, в первую очередь из-за обилия готовых инструментариев хакеров, таких как PowerShell Empire.

Мы уже писали о том, как PowerShell, когда он дополняется PowerView, становится мощным поставщиком информации для хакеров (вся эта мудрость собрана в нашей подборке, которую вы должны прочитать как можно скорее).

Безусловно, любой инструмент может использоваться как для хорошего так и для плохого, так что я и не думаю тут намекать, что PowerShell был создан, чтобы облегчить жизнь хакерам.
Но так же, как вы бы не оставили сверхмощный болторез рядом с навесным замком, вы, вероятно, не захотите разрешить, или хотя бы сделать это максимально более трудным для хакеров получить в свои руки PowerShell.

Это в свою очередь поднимает большую тему в мире кибербезопасности: ограничение доступа к приложениям, также известную как белые и черные списки доступа. Общая идея в том, чтобы операционная система знала и строго контролировала какие приложения могут быть запущены пользователем, а какие – нет.

Например, будучи homo blogus, мне, как правило, нужны некоторые основные инструменты и приложения (а также теплое местечко, где могу спать ночью), и я прекрасно могу прожить без оболочки PowerShell, netcat, psexec, и всех других команд, о которых я рассказывал в предыдущих постах. То же самое относится к большинству работников в компаниях, и поэтому квалифицированный ИТ-специалист должен быть в состоянии составить список приложений, которые являются безопасными для использования.

В мире Windows, возможно использовать правила на выполнение приложений с помощью специальных ограничивающих политик использования программ, а в последнее время и AppLocker.

Однако, прежде чем мы перейдем к этим передовым идеям, давайте попробуем два очень простых решения, а затем посмотрим, что с ними не так.

ACL и другие упрощения

Мы часто думаем о списках доступа ACL Windows, что они используются для управления доступом к читабельному содержимому. Но они также могут быть применены и к исполняемым файлам — то есть.ехе, .vbs, .ps1 и остальным.

Я вернулся в облако Amazon Web Services, где у меня находится домен Windows для мифической и некогда легендарной компании Acme и там проделал работу с ACL, дабы продемонстрировать некоторые ограничения доступа.

Картинка с сайта: habr.com

PowerShell .exe, любой системный администратор сможет без труда сказать вам, находится в C:\Windows\System32\WindowsPowerShell\v1.0. Я перешел в эту папку, вызвал ее свойства и моментально ограничил права выполнения PowerShell на 2 основные группы: «Администраторов домена» и «Acme-SnowFlakes”, группы опытных пользователей Acme.

Я перезашел на сервер, как Боб, мой амплуа в компании Acme, и попытался вызвать PowerShell. Результаты ниже.

Картинка с сайта: habr.com

На практике, вы могли бы, наверняка, придумать скрипт — почему бы не использовать PowerShell чтобы автоматизировать этот процесс настройки ACL для всех ноутбуков и серверов в небольших и средних по размеру компаниях.

Это не плохое решение.

Если вам не нравится идея изменения ACL на исполняемых файлах, PowerShell предлагает свои собственные средства ограничения. Как пользователь с админ-правами, можно использовать, все что угодно, но проще всего встроенный командлет Set-ExecutionPolicy.

Это уже не настолько «топорное» решение, как установка ACL. Например, вы сможете ограничить PowerShell для работы только в интерактивном режиме – с помощью параметра Restricted — так что он не будет выполнять PS-скрипты, которые могут содержать вредоносные программы хакеров.

Однако, это также заблокирует и скрипты PowerShell, запускаемые вашими ИТ-специалистами. Чтобы разрешить одобренные скрипты, но отключить скрипты злобных хакеров, используйте параметр RemoteSigned. Теперь PowerShell будет запускать только подписанные скрипты. Администраторам, конечно, придется создать их собственные сценарии и затем подписать их с использованием проверенных учетных данных.

Я не буду вдаваться в подробности, как это сделать, в основном потому, что это так легко обойти. Кое-кто тут в блоге описал аж 15 способов обхода ограничений безопасности в PowerShell.

Самый простой – это с помощью параметра Bypass в самом PowerShell. Да! (см.ниже).

Картинка с сайта: habr.com

Похоже на дыру в безопасности, а?

Так что в PowerShell есть несколько основных уязвимостей. Это кстати и понятно, так как это, в конце концов, всего лишь программная оболочка.

Но даже подход ограничений на уровне ACL имеет свои фундаментальные проблемы.
Если хакеры ослабят свою философию, то они смогут запросто скачать, скажем, с помощью трояна удаленного доступа (RAT) — их собственную копию PowerShell.ехе. А затем запустить его напрямую, с легкостью избежав ограничений с разрешениями с локальным PowerShell.

Политики Ограничения Использования Программ

Эти основные дыры в безопасности (как и многие другие) всегда сопровождают потребительский класс операционных систем. Это навело исследователей ОС на мысль придумать безопасную операционную систему, которая бы имела достаточно силы, чтобы контролировать то, что может быть запущено.

В мире Windows, эти силы известны как политики ограничения использования программ (SRP) — для ознакомления, посмотрите это — они настраиваются через редактор Групповых политик.
С их помощью вы сможете контролировать, какие приложения могут быть запущены на основании расширения файла, имен путей, и было ли приложение подписано цифровой подписью.

Самый эффективный, хоть и самый болезненный подход, это запретить все, а потом добавлять туда приложения, которые вам действительно нужны. Это известно как внесение в „белый список“.

Мы разберем это более подробно в следующей части.

В любом случае, вам потребуется запустить редактор политик, gpEdit и перейдите к политике Local Computer Policy>Windows Settings>Security Settings>Software Restriction Polices>Security Levels. Если Вы нажмете на “Запретить (Disallowed)”, то вы можете сделать это политикой безопасности по-умолчанию — не запускать любые исполняемые файлы!

Картинка с сайта: habr.com

Белый список: запретить по-умолчанию, а затем добавить разрешенные приложения в “Дополнительные правила (Additional Rules)”.

Это больше похоже на тактику выжженной земли. На практике, потребуется ввести “дополнительные правила”, чтобы добавить обратно разрешенные приложения (с указанием их наименования и пути). Если вы выходите из оболочки PowerShell, то вы фактически отключаете этот инструмент на месте.

К сожалению, вы не можете подстроить правила политик ограничения использования программ на основании отдельных групп или пользователей. Блин!

И теперь это логично приводит нас к последнему достижению безопасности Microsoft, известному как AppLocker, который имеет свои уникальные особенности, чтобы разрешить открыть приложение. Поговорим об этом в следующий раз.