За последний месяц я описал два интересных издания Windows 11 – Enterprise G в статье Windows 11 Enterprise G – Что за издание для правительства Китая и зачем оно вам? / Хабр (habr.com), и IoT Enterprise LTSC в статье Windows 11 24H2 IoT Enterprise LTSC – что за зверь, и чем он хорош? / Хабр (habr.com). В комментариях и сообщениях в личку все чаще слышу, что хорош EnterpriseG своей легкостью, в первую очередь выпиленным Защитником и телеметрией, но увы, не имеет локализации. А IoT LTSC тоже хорош и переведен, и быть ему тем на что можно наконец переходить тем, кто еще живет на Windows 7, если бы не Defender.
Способов удалять телеметрию есть много, я обычно просто штатно отключаю при установке то, что дают выключить и не парюсь; в сети есть проекты, вычищающие глубокие хвосты.
С Защитником тоже опробовано много способов борьбы. Защитник с каждой версией становится все более устойчивым к попыткам себя отключить. На старых процессорах Intel (там где программным образом Microsoft пробует устранить уязвимости Intel Spectre и Meltdown) производительность процессора в Windows 11 падает до 30%! Как это безобразие отключить? Никакие методы с сайта Microsoft этого не позволят добиться.
В комментариях тут на Хабре мне писали варианты скриптов, которые у кого-то срабатывают. Но проверив на свежих виртуалках массу решений, большинство из скриптов блокируются Защитником сразу после сохранения файла, остальные не выполняют своей задачи.
По итогам тестирования мной также признаны неработоспособ��ыми способы отключения Защитника через ProductPolicy и редактирование MUM файла, описывающего компоненты входящие в издание ОС, так как так или иначе, при перезагрузке или обновлении Защитник возвращается в строй. Встроенные групповые политики (и локальные политики через gpedit.msc) позволяли его отключить в Windows 10, но в Windows 11 встроено значительно больше функций защиты, их нужно отключать более грубо вручную.
Итогом после мозгового штурма на форумах MyDigitalLife я для себя посчитал приемлемым открытое решение ionuttbara/windows-defender-remover (github.com).
Оно есть в исходном коде, если вы желаете посмотреть содержимое, или вы можете загрузить скрипт при помощи Git:
git clone https://github.com/ionuttbara/windows-defender-remover.git
cd windows-defender-remover
Script_Run.bat
Ну а тем, кто далек от разработки предлагается подписанный исполняемый модуль. Встроенный в браузер Edge функционал Defender в зависимости от настроек ОС может предупредить о том, что скачиваемый файл небезопасен:
Но вы все равно сможете его сохранить.
Для небольшого процента систем, где администраторы заранее настроили жесткие политики Windows Defender Application Control вы можете получать сообщение о том, что сохраненное приложение при запуске заблокировано в Device Guard или Application Control. Это можно решить, удалив один и тот же файл в четырех местах (из под администратора в PowerShell:
Remove-Item -LiteralPath "$((Get-Partition | ? IsSystem).AccessPaths[0])Microsoft\Boot\WiSiPolicy.p7b"
Remove-Item -LiteralPath "$env:windir\System32\CodeIntegrity\WiSiPolicy.p7b"
Remove-Item -LiteralPath "$env:windir\Boot\EFI\wisipolicy.p7b"
Remove-Item -Path "$env:windir\WinSxS" -Include *winsipolicy.p7b* -Recurse
В самых редких случаях, когда удаление блокируется Virtualization Based Security (VBS) политиками, придется для начала их отключить командой
bcdedit /set hypervisorlaunchtype off
Когда вы успешно запустите DefenderRemover, вам будет задан вопрос — удалить Защитник со всеми компонентами безопасности (Y), удалить только защитник (A) или только убрать предупреждения (S):
При выборе (А) или (Y) будут отключены и удалены следующие компоненты антивируса:
список определений (это отключит получение обновлений с Windows Update)
Телеметрию Windows Defender SpyNet
Службу антивируса
Фильтр антивируса и сканер руткит драйверов
запланированные задания антивируса
ассоциации меню
спрячет секцию антивирусной защиты из Центра Безопасности
При выборе (S) или (Y) будут отключены следующие компоненты безопасности:
Поддержка Центр Безопасности (Windows Security Center) (службы wscsvc, SgrmBroker, драйверы Sgrm)
Поддержка безопасности виртуализации (VBS, LUA, Exploit Guard, Windows Smart Control, Tamper Protection)
SecHealthUI (UWP приложение)
SmartScreen
Поддержка Pluton и его служб
Дополнительные настройки безопасности (важно на старых процессорах Intel, дает +30% производительности, так как по умолчанию были отключены уязвимости процессора Spectre и Meltdown)
Никаких другие компоненты ОС не трогаются. В том числе Windows Firewall, он же брандмауэр Защитника Windows остается в системе, — его как и раньше можно просто выключить в консоли, если не требуется.
Предусмотрена возможность интегрировать удаление Защитника в процесс установки ОС. Подробнее в первоисточнике.
Там же есть пример PowerShell кода, удаляющего Центр Безопасности из панели Настроек:
Если до удаления оно выглядит в Настройках так:
То после выполнения скрипта остается лишь:
Система стала ощутимо шустрее. Установка обновлений ОС не приводит к возврату Защитника:
Имею самую последнюю версию в итоге:
Специально для примера выбирал Windows 11 SE (она же CloudEdition), как наиболее тесно интегрированную с Защитником. Если вы хотите о нем забыть, — дело пары минут. Это не означает, что вам не нужен антивирус. Установите его после самостоятельно на свой вкус и настройте, в зависимости от профиля работы на ПК.
Как мне сообщают в комментариях, если у вас включен Контроль Учетных Записей (User Account Control), то при выполнении программы будут сложности под неадминистративным пользователем - не будет запроса о повышении привилегий, и запуска чего-либо под администратором. Исправляется легко, - зайдите под Администратором, отключите контроль учетных записей, перезагрузитесь. Если он нужен, после перезагрузки верните его назад. Сам функционал не удаляется, в Windows 10 сбрасываются флаги вызова повышения привилегий.
Я на этом завершаю, всем удачи, ставьте лайк, задавайте вопросы, отвечу.
