Den Windows 10-eigenen Virenschutz Defender kann man auf mehreren Wegen abschalten, das ist allerdings mitunter nur die halbe Miete.
Denn die Dienste laufen weiter und es werden zudem immer noch Signatur-Updates heruntergeladen und installiert. Sowohl die Dienste als auch der Update-Prozess benötigen Ressourcen. Gerade auf schwächeren Systemen spielt das eine Rolle. Wer ohnehin einen anderen Virenschutz verwendet, benötigt die Bordmittel generell nicht.
Neben den vielfach dokumentierten grafischen Möglichkeiten den Defender zu deaktivieren kommen im Rahmen dieses Beitrags lediglich die Mittel für Administratoren und versierte Anwender zur Sprache.
Deaktivieren mittels Gruppenrichtlinie(n)
Via GPO können folgende Richtlinien unter
Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows Defender Antivirus
gesetzt werden:
- “Windows Defender Antivirus deaktivieren” auf “Aktiviert” stellen.
- “Zulassen der ständigen Ausführung von AntiMalware-Diensten” auf “Deaktiviert” stellen.
Deaktivieren mittels Registry
Hat man keine Domäne oder keine Pro- bzw. Enterprise-Ausgabe von Windows, hilft ein Eingriff in die Registry. Die zuvor genannten Richtlinien setzen folgende Werte in der Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware = 1 ServiceKeepAlive = 0
Beide sind vom Typ REG_DWORD. Mittels *.reg-Datei können die Werte so gesetzt werden:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000001 "ServiceKeepAlive"=dword:00000000
Oder mittels dieser Befehle die entsprechenden Werte setzen:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d 00000001 /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "ServiceKeepAlive" /t REG_DWORD /d 00000000 /f
Update 09.08.2020
Es ist ein leidiges Thema den Defender zu deaktivieren. Offenbar gibt es zudem im Verhalten auf den Systemen trotz obiger Einstellungen Differenzen. Dies zeigt sich in den Kommentaren und so konnte ich es bereits mehrfach beobachten. Auf den Systemen (Windows 10 1909 und 2004) sind im Idealfall die Dienste beendet sind, aber auf manchen läuft zumindest “Windows Defender Antivirus Service” (Dienstname: “WinDefend”) was wiederum dem berühmt-berüchtigte Prozess “MsMpEng.exe” entspricht einfach weiter.
Das Einstellungen nicht änderbar sind könnte am Tamper-Schutz des Defenders liegen. Diesen zu deaktivieren ist nicht ganz so einfach. Ebenso verhält es sich mit dem Starttyp der Defender-Dienste. Beides kann man mit Hilfe des Tools NSudo dennoch angehen:
- NSudo z.B. bei MajorGeeks herunterladen und entpacken.
- In den Ordner “NSudo Launcher\x64” wechseln.
- Die Datei “NSudoLG.exe” mit der rechten Maustaste anklicken und “Als Administrator ausführen” auswählen.
- Bei “User:” “Trusted Installer” auswählen.
- “regedit” öffnen.
- Zu “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features” wechseln.
- Den Wert von “TamperProtection” von “1” zu “0” bzw. (ab Oktober 2019) von “5” auf “4” ändern.
- Als nächstes “services.msc” starten.
- In die Eigenschaften des Dienstes “Windows Defender Antivirus Service” wechseln.
- Diesen beenden und den Starttyp auf “Deaktiviert” setzen.
Quelle:
Update 19.08.2020
Wie man bei Deskmodder.de nachlesen kann, ignoriert Microsoft bzw. Defender mittlerweile den DisableAntiSpyware-Registry-Eintrag:
DisableAntiSpyware Eintrag wird vom Microsoft Defender ab August 2020 ignoriert
Update 13.03.2021
Einfacher lässt sich Microsofts Virenschutz mit Defender Control von Sordum abschalten:
Update 10.02.2023
Zwischenzeitlich gab es ein paar Wirren bei der Nutzung von Defender Control, siehe dazu die Kommentare direkt bei Sordum (Link im vorigen Update). Wie sich herausgestellt hat lag es nicht an dem Tool, sondern Anwender die Probleme bekommen haben hatten nicht direkt bei Sordum heruntergeladen, sondern irgendwo anders und so ein Fake-Tool ausgeführt oder gar Malware sich ins System geholt.
Update 20.03.2023
Möglicherweise gibt es einen Zusammenhang mit den Februar und März 2023 Windows Updates und Sordum’s Defender Control. Siehe:
Windows: Schlechte Performance nach Windows Updates bei deaktiviertem Defender
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Funktioniert wohl nicht, weil Windows den Key “DisableAntiSpyware”=dword:00000001 sofort wieder aus der Registrierung löscht, selbst wenn man den Key im abgesicherten Modus schreibt.
Bei den von mir verwendeten und verwalteten Systemen bleibt die Einstellungen bestehen. Die Löschung muss also einen anderen Grund haben.
Hallo Andy, bei mir findet sich leider auf einer 1909 dasselbe Verhalten, wie oben von CW beschrieben. Der “ServiceKeepAlive” ist nach einem Neustart noch vorhanden, die andere Zeile fehlt. Ich benutze keine weitere Antivirus Software oder obskure Optimierer – eine geradlinige Standardinstallation…
Hallo Andreas und CW,
ich habe heute ein Update zu diesem Beitrag veröffentlicht, evtl. hilft das weiter.
Um den Defender unter Windows 11 x64 zu entfernen ist 3x abgesicherter Start nötig.
Beim ersten dann den “Antivirus-Frühstart” deaktivieren über “gpedit” Defender und Echtzeitschutz, etc. deaktivieren.
Beim zweiten Defender selbst.
Beim dritten dann die anderen Defender-Services.
-siehe *.reg Dateien
[code]
REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender]
“DisableRoutinelyTakingAction”=dword:00000001
“DisableAntiSpyware”=dword:00000001
“ServiceKeepAlive”=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderPolicy Manager]
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderReal-Time Protection]
“DisableRealtimeMonitoring”=dword:00000001
“DisableIOAVProtection”=dword:00000001
“DisableBehaviorMonitoring”=dword:00000001
“DisableRawWriteNotification”=dword:00000001
“DisableScanOnRealtimeEnable”=dword:00000001
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderScan]
“CheckForSignaturesBeforeRunningScan”=dword:00000000
“DisableArchiveScanning”=dword:00000001
“DisableCatchupFullScan”=dword:00000001
“DisableCatchupQuickScan”=dword:00000001
“DisableScanningNetworkFiles”=dword:00000001
[/code]
[code]
REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesMicrosoftWindows Defender]
“DisableRoutinelyTakingAction”=dword:00000001
“DisableAntiSpyware”=dword:00000001
“ServiceKeepAlive”=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesMicrosoftWindows DefenderPolicy Manager]
[HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesMicrosoftWindows DefenderReal-Time Protection]
“DisableRealtimeMonitoring”=dword:00000001
“DisableIOAVProtection”=dword:00000001
“DisableBehaviorMonitoring”=dword:00000001
“DisableRawWriteNotification”=dword:00000001
“DisableScanOnRealtimeEnable”=dword:00000001
[HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesMicrosoftWindows DefenderScan]
“CheckForSignaturesBeforeRunningScan”=dword:00000000
“DisableArchiveScanning”=dword:00000001
“DisableCatchupFullScan”=dword:00000001
“DisableCatchupQuickScan”=dword:00000001
“DisableScanningNetworkFiles”=dword:00000001
[/code]
[code]
REGEDIT4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinDefend]
“Start”=dword:00000004
[/code]
[code]
REGEDIT4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSense]
“Start”=dword:00000004
[/code]
[code]
REGEDIT4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWdBoot]
“Start”=dword:00000004
[/code]
[code]
REGEDIT4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWdFilter]
“Start”=dword:00000004
[/code]
[code]
REGEDIT4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWdNisDrv]
“Start”=dword:00000004
[/code]
[code]
REGEDIT4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWdNisSvc]
“Start”=dword:00000004
[/code]
[img]
https://abload.de/img/def_deinstalliert_jde8v.jpg
[/img]