Microsoft объяснила, почему Антивирус Windows 10 больше нельзя отключить с помощью DisableAntiSpyware

2020-09-02 28873 комментарии
Компания Microsoft официально подтвердила, что антивирусная программа Microsoft Defender больше не может быть отключена с помощью ключа реестра DisableAntiSpyware в Windows 10. Данное изменение является частью функции безопасности «Защита от подделки»

С выходом Windows 10 May 2019 Update (версия 1903) Microsoft представила функцию «Защита от подделки», которая предотвращает изменение настроек приложения «Безопасность Windows» и антивируса Microsoft Defender вне интерфейса Windows. Под термином «настройки» здесь также учитываются инструменты командной строки, изменения реестра и групповых политик.

Защита от подделки

Антивирус Microsoft Defender больше нельзя отключить с помощью реестра

Исторически пользователи Windows 10 могли отключать Защитник Windows с помощью групповой политики Выключить антивирусную программу «Защитник Windows».

При включении данной политики в системном реестре создавался параметр DisableAntiSpyware со значением 1 по пути:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

В конце августа мы писали, что Microsoft Defender больше не учитывает данную запись реестра. Оказывается, что данное поведение связано с работой «Защиты от подделки».

В документации к параметру DisableAntiSpyware компания пояснила:

Данный устаревший параметр больше не требуется, потому что Microsoft Defender автоматически отключается при обнаружении другой антивирусной программы.

Обратите внимание, что данный параметр защищается с помощью «Защиты от подделки». «Защита от подделки» по умолчанию доступна во всех версиях Windows 10 редакций Домашняя и Pro, начиная с версии 1903.

Не все так однозначно

Примечательно, что тестирования, проведенные BleepingComputer и Comss.one, показали, что даже с включенной защитой от подделки значение реестра DisableAntiSpyware продолжало работать еще некоторое время.

При включении параметра с последующим перезапуском компьютера, Microsoft Defender будет отключен для этого конкретного сеанса. Однако, при последующей перезагрузке сработает защита от изменений и снова включит Защитник Windows.

Даже этой кратковременной потери защиты достаточно вредоносному ПО для проникновения на компьютер Windows.

Ранее было обнаружено несколько вредоносных программ, таких как TrickBot, Novter, Clop Ransomware, Ragnarok Ransomware и AVCrypt Ransomware, которые специально нацеливались на Защитник Windows и отключали его с помощью значения DisableAntiSpyware.

Вероятно, что Microsoft удалила эту политику не только потому, что она больше не нужна, но и для предотвращения использования злоумышленниками этой уязвимости в защите от подделки.

Microsoft раскрыла истинные причины изменения

На портале Microsoft Центр сообщений Windows Редмонд подтвердил подозрения, что DisableAntiSpyware теперь игнорируется для усиления защиты от подделки.

Улучшения «Защиты от подделки» за счет удаления параметра DisableAntiSpyware

«Защита от подделки» в антивирусе Microsoft Defender включена по умолчанию для всех потребительских устройств Windows 10. Эта функция защищает устройства от кибератак, которые пытаются отключить встроенные решения безопасности в попытке получить доступ к вашим данным, установить вредоносное ПО или иным образом использовать пользовательские данные, идентификационные данные и устройства. Поскольку антивирус Microsoft Defender автоматически отключается при обнаружении другой антивирусной программы, мы удаляем устаревший параметр реестра под названием DisableAntiSpyware. DisableAntiSpyware был предназначен для использования OEM-производителями и ИТ-администраторами для отключения антивируса Microsoft Defender с целью развертывания другого антивирусного продукта во время установки. Параметр больше не применим к потребительским устройствам и будет удален, начиная с версии клиента антивредоносной программы 4.18.2007.8 и выше (см. KB4052623 для подробной информации). Это обновление будет выпущено на устройства под управлением Windows Enterprise E3 и E5 в будущем.

После удаления политики DisableAntiSpyware вредоносные программы больше не смогут использовать уязвимость «Защиты от подделки», а Microsoft Defender будет отключен только в том случае, если изменение было внесено в интерфейсе настроек Windows (на время активного сеанса) или при установке другого антивирусного ПО.

Отметим, что некоторые сторонние решения для настройки Microsoft Defender, такие как Defender Control (отключение Защитника Windows) и Configure Defender (управление компонентами защиты) по-прежнему работают.

Defender Control

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?