За последний месяц я описал два интересных издания Windows 11 – Enterprise G в статье Windows 11 Enterprise G – Что за издание для правительства Китая и зачем оно вам? / Хабр (habr.com), и IoT Enterprise LTSC в статье Windows 11 24H2 IoT Enterprise LTSC – что за зверь, и чем он хорош? / Хабр (habr.com). В комментариях и сообщениях в личку все чаще слышу, что хорош EnterpriseG своей легкостью, в первую очередь выпиленным Защитником и телеметрией, но увы, не имеет локализации. А IoT LTSC тоже хорош и переведен, и быть ему тем на что можно наконец переходить тем, кто еще живет на Windows 7, если бы не Defender.
Способов удалять телеметрию есть много, я обычно просто штатно отключаю при установке то, что дают выключить и не парюсь; в сети есть проекты, вычищающие глубокие хвосты.
С Защитником тоже опробовано много способов борьбы. Защитник с каждой версией становится все более устойчивым к попыткам себя отключить. На старых процессорах Intel (там где программным образом Microsoft пробует устранить уязвимости Intel Spectre и Meltdown) производительность процессора в Windows 11 падает до 30%! Как это безобразие отключить? Никакие методы с сайта Microsoft этого не позволят добиться.
В комментариях тут на Хабре мне писали варианты скриптов, которые у кого-то срабатывают. Но проверив на свежих виртуалках массу решений, большинство из скриптов блокируются Защитником сразу после сохранения файла, остальные не выполняют своей задачи.
По итогам тестирования мной также признаны неработоспособными способы отключения Защитника через ProductPolicy и редактирование MUM файла, описывающего компоненты входящие в издание ОС, так как так или иначе, при перезагрузке или обновлении Защитник возвращается в строй. Встроенные групповые политики (и локальные политики через gpedit.msc) позволяли его отключить в Windows 10, но в Windows 11 встроено значительно больше функций защиты, их нужно отключать более грубо вручную.
Итогом после мозгового штурма на форумах MyDigitalLife я для себя посчитал приемлемым открытое решение ionuttbara/windows-defender-remover (github.com).
Оно есть в исходном коде, если вы желаете посмотреть содержимое, или вы можете загрузить скрипт при помощи Git:
git clone https://github.com/ionuttbara/windows-defender-remover.git
cd windows-defender-remover
Script_Run.bat
Ну а тем, кто далек от разработки предлагается подписанный исполняемый модуль. Встроенный в браузер Edge функционал Defender в зависимости от настроек ОС может предупредить о том, что скачиваемый файл небезопасен:
Но вы все равно сможете его сохранить.
Для небольшого процента систем, где администраторы заранее настроили жесткие политики Windows Defender Application Control вы можете получать сообщение о том, что сохраненное приложение при запуске заблокировано в Device Guard или Application Control. Это можно решить, удалив один и тот же файл в четырех местах (из под администратора в PowerShell:
Remove-Item -LiteralPath "$((Get-Partition | ? IsSystem).AccessPaths[0])Microsoft\Boot\WiSiPolicy.p7b"
Remove-Item -LiteralPath "$env:windir\System32\CodeIntegrity\WiSiPolicy.p7b"
Remove-Item -LiteralPath "$env:windir\Boot\EFI\wisipolicy.p7b"
Remove-Item -Path "$env:windir\WinSxS" -Include *winsipolicy.p7b* -Recurse
В самых редких случаях, когда удаление блокируется Virtualization Based Security (VBS) политиками, придется для начала их отключить командой
bcdedit /set hypervisorlaunchtype off
Когда вы успешно запустите DefenderRemover, вам будет задан вопрос — удалить Защитник со всеми компонентами безопасности (Y), удалить только защитник (A) или только убрать предупреждения (S):
При выборе (А) или (Y) будут отключены и удалены следующие компоненты антивируса:
список определений (это отключит получение обновлений с Windows Update)
Телеметрию Windows Defender SpyNet
Службу антивируса
Фильтр антивируса и сканер руткит драйверов
запланированные задания антивируса
ассоциации меню
спрячет секцию антивирусной защиты из Центра Безопасности
При выборе (S) или (Y) будут отключены следующие компоненты безопасности:
Поддержка Центр Безопасности (Windows Security Center) (службы wscsvc, SgrmBroker, драйверы Sgrm)
Поддержка безопасности виртуализации (VBS, LUA, Exploit Guard, Windows Smart Control, Tamper Protection)
SecHealthUI (UWP приложение)
SmartScreen
Поддержка Pluton и его служб
Дополнительные настройки безопасности (важно на старых процессорах Intel, дает +30% производительности, так как по умолчанию были отключены уязвимости процессора Spectre и Meltdown)
Никаких другие компоненты ОС не трогаются. В том числе Windows Firewall, он же брандмауэр Защитника Windows остается в системе, — его как и раньше можно просто выключить в консоли, если не требуется.
Предусмотрена возможность интегрировать удаление Защитника в процесс установки ОС. Подробнее в первоисточнике.
Там же есть пример PowerShell кода, удаляющего Центр Безопасности из панели Настроек:
Если до удаления оно выглядит в Настройках так:
То после выполнения скрипта остается лишь:
Система стала ощутимо шустрее. Установка обновлений ОС не приводит к возврату Защитника:
Имею самую последнюю версию в итоге:
Специально для примера выбирал Windows 11 SE (она же CloudEdition), как наиболее тесно интегрированную с Защитником. Если вы хотите о нем забыть, — дело пары минут. Это не означает, что вам не нужен антивирус. Установите его после самостоятельно на свой вкус и настройте, в зависимости от профиля работы на ПК.
Как мне сообщают в комментариях, если у вас включен Контроль Учетных Записей (User Account Control), то при выполнении программы будут сложности под неадминистративным пользователем - не будет запроса о повышении привилегий, и запуска чего-либо под администратором. Исправляется легко, - зайдите под Администратором, отключите контроль учетных записей, перезагрузитесь. Если он нужен, после перезагрузки верните его назад. Сам функционал не удаляется, в Windows 10 сбрасываются флаги вызова повышения привилегий.
Я на этом завершаю, всем удачи, ставьте лайк, задавайте вопросы, отвечу.
