Windows 10: Defender samt seiner Dienste deaktivieren

Den Windows 10-eigenen Virenschutz Defender kann man auf mehreren Wegen abschalten, das ist allerdings mitunter nur die halbe Miete.

Denn die Dienste laufen weiter und es werden zudem immer noch Signatur-Updates heruntergeladen und installiert. Sowohl die Dienste als auch der Update-Prozess benötigen Ressourcen. Gerade auf schwächeren Systemen spielt das eine Rolle. Wer ohnehin einen anderen Virenschutz verwendet, benötigt die Bordmittel generell nicht.

Neben den vielfach dokumentierten grafischen Möglichkeiten den Defender zu deaktivieren kommen im Rahmen dieses Beitrags lediglich die Mittel für Administratoren und versierte Anwender zur Sprache.

Deaktivieren mittels Gruppenrichtlinie(n)

Via GPO können folgende Richtlinien unter

Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows Defender Antivirus

gesetzt werden:

  • „Windows Defender Antivirus deaktivieren“ auf „Aktiviert“ stellen.
  • „Zulassen der ständigen AUsführung von AntiMalware-Diensten“ auf „Deaktiviert“ stellen.

Deaktivieren mittels Registry

Hat man keine Domäne oder keine Pro- bzw. Enterprise-Ausgabe von Windows, hilft ein Eingriff in die Registry. Die zuvor genannten Richtlinien setzen folgende Werte in der Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

DisableAntiSpyware = 1
ServiceKeepAlive = 0

Beide sind vom Typ REG_DWORD. Mittels *.reg-Datei können die Werte so gesetzt werden:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001
"ServiceKeepAlive"=dword:00000000

Oder mittels dieser Befehle die entsprechenden Werte setzen:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "ServiceKeepAlive" /t REG_DWORD /d 00000000 /f

Update 09.08.2020

Es ist ein leidiges Thema den Defender zu deaktivieren. Offenbar gibt es zudem im Verhalten auf den Systemen trotz obiger Einstellungen Differenzen. Dies zeigt sich in den Kommentaren und so konnte ich bereits mehrfach beobachten. Auf den Systemen (Windows 10 1909 und 2004) sind im Idealfall die Dienste beendet sind, aber auf manchen läuft zumindest „Windows Defender Antivirus Service“ (Dienstname: „WinDefend“) was wiederum dem berühmt-berüchtigte Prozess „MsMpEng.exe“ entspricht einfach weiter.

Das Einstellungen nicht änderbar sind könnte am Tamper-Schutz des Defenders liegen. Diesen zu deaktivieren ist nicht ganz so einfach. Ebenso verhält es sich mit dem Starttyp der Defender-Dienste. Beides kann man mit Hilfe des Tools NSudo dennoch angehen:

  • NSudo z.B. bei MajorGeeks herunterladen und entpacken.
  • In den Ordner „NSudo Launcher\x64“ wechseln.
  • Die Datei „NSudoLG.exe“ mit der rechten Maustaste anklicken und „Als Administrator ausführen“ auswählen.
  • Bei „User:“ „Trusted Installer“ auswählen.
  • „regedit“ öffnen.
  • Zu „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features“ wechseln.
  • Den Wert von „TamperProtection“ von „1“ zu „0“ bzw. (ab Oktober 2019) von „5“ auf „4“ ändern.
  • Als nächstes „services.msc“ starten.
  • In die Eigentschaften des Dienstes „Windows Defender Antivirus Service“ wechseln.
  • Diesen beenden und den Starttyp auf „Deaktiviert“ setzen.

Quelle:

Deskmodder.de – Manipulationsschutz unter Windows Sicherheit wird mit der Windows 10 1903 vollständig freigeschaltet

Update 19.08.2020

Wie man bei Deskmodder.de nachlesen kann, ignoriert Microsoft bzw. Defender mittlerweile den DisableAntiSpyware-Registry-Eintrag:

DisableAntiSpyware Eintrag wird vom Microsoft Defender ab August 2020 ignoriert

4 Kommentare

  • Funktioniert wohl nicht, weil Windows den Key „DisableAntiSpyware“=dword:00000001 sofort wieder aus der Registrierung löscht, selbst wenn man den Key im abgesicherten Modus schreibt.

  • Bei den von mir verwendeten und verwalteten Systemen bleibt die Einstellungen bestehen. Die Löschung muss also einen anderen Grund haben.

  • Hallo Andy, bei mir findet sich leider auf einer 1909 dasselbe Verhalten, wie oben von CW beschrieben. Der „ServiceKeepAlive“ ist nach einem Neustart noch vorhanden, die andere Zeile fehlt. Ich benutze keine weitere Antivirus Software oder obskure Optimierer – eine geradlinige Standardinstallation…

  • Hallo Andreas und CW,

    ich habe heute ein Update zu diesem Beitrag veröffentlicht, evtl. hilft das weiter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.