mysticfoxde
Goto Top

Defender lässt sich bei Windows 11 22H2 nicht mehr deaktivieren. :-(

Moin Zusammen,

ich wollte soeben wegen einem Test den Windows Defender auf einer W11 Workstation, wie schon in duzenden anderen Beiträgen beschrieben, wie z.B. den folgenden ...

https://www.heise.de/tipps-tricks/Windows-Defender-deaktivieren-so-klapp ...
https://www.giga.de/tipp/windows-11-und-10-windows-defender-deaktivieren ...

... per "DisableAntiSpyware" Key per Registry deaktivieren. Das klappt aber bei meinem W11 22H2 nicht mehr. 😭

Nach jedem Neustart des Rechners, verschwindet der entsprechende Key wieder aus der Registry. 🤢🤮

Wie kann ich nun sicherstellen, dass bei einem Windows 11 KEIN Defender aktiviert ist?

Gruss Alex

Content-ID: 7968389299

Url: https://administrator.de/contentid/7968389299

Ausgedruckt am: 18.12.2024 um 18:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 27.07.2023 aktualisiert um 13:44:07 Uhr
Goto Top
Hi Alex,

ich nehme an, dass die Tamper-Protection da zuschlägt. Die muss zuerst ausgeschaltet werden. Dann sollte Defender ssich auch deaktivieren lassen.

https://www.makeuseof.com/permanently-disable-microsoft-defender-windows ...

VG
Andreas
chgorges
chgorges 27.07.2023 um 13:51:23 Uhr
Goto Top
Wieso deaktivieren? Einfach per Powershell nuken, dann ist Ruhe.
MysticFoxDE
MysticFoxDE 27.07.2023 um 18:37:36 Uhr
Goto Top
Moin Andreas,

ich nehme an, dass die Tamper-Protection da zuschlägt. Die muss zuerst ausgeschaltet werden. Dann sollte Defender ssich auch deaktivieren lassen.

https://www.makeuseof.com/permanently-disable-microsoft-defender-windows ...

nein, die habe ich im Vorfeld schon deaktiviert gehabt.

w11 manipulationsschutz

Gruss Alex
MysticFoxDE
MysticFoxDE 27.07.2023 um 18:45:08 Uhr
Goto Top
Moin @chgorges,

Wieso deaktivieren? Einfach per Powershell nuken, dann ist Ruhe.

du meinst mit ...

Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true

nein, das ist mir für mein vorhaben nicht genug, ich möchte den Defender in diesem Fall am liebsten komplett rausrupfen, so alla ..

Remove-WindowsFeature -Name "Windows-Defender"  

... leider klappt das nur auf den Servern, aber nicht auf den Clients. 😭

Gruss Alex
DarkZoneSD
DarkZoneSD 27.07.2023 um 21:54:51 Uhr
Goto Top
Moin,

habe ich Heute auch herausgefunden, eine Antwort wäre interessant da bei mir auch

Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWord -Value 1  

versagt hat..

Grüße
MysticFoxDE
MysticFoxDE 28.07.2023 um 08:13:18 Uhr
Goto Top
Moin DarkZoneSD,

habe ich Heute auch herausgefunden, eine Antwort wäre interessant da bei mir auch

Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWord -Value 1  

versagt hat..

habe soeben die Antwort gefunden ...

https://learn.microsoft.com/de-de/windows-hardware/customize/desktop/una ...

defender no disable

... 😭🤢🤮

Diese Zwangsgängelung seitens dieser mittlerweile absolut überheblichen und nur noch geldgierigen Microsoftianer,
geht mir langsam richtig auf den Kecks. 😡

Na ja, lieber Defender, ich sage nur Regedit als System User. 😎😁

Sprich, ich melde mich wieder, sobald ich eine neue Defender-Rausrupf-Lösung gefunden habe.

Beste Grüsse aus BaWü
Alex
7907292512
7907292512 28.07.2023 aktualisiert um 11:55:34 Uhr
Goto Top
beidermachtvongreyscull
beidermachtvongreyscull 28.07.2023 um 14:25:13 Uhr
Goto Top

Für online Images scheint das ein Weg zu sein.
Ich würde aber direkt an der WIM im ISO ansetzen. Dann könnte man die als lokales Inplace-Upgrade ausrollen und müsste auch Ruhe haben.

Ich werde das bei Gelegenheit mal testen. Bin immer nocht ein Windows-10er-Mensch.
DarkZoneSD
DarkZoneSD 28.07.2023 um 22:59:13 Uhr
Goto Top
Ich würde aber direkt an der WIM im ISO ansetzen. Dann könnte man die als lokales Inplace-Upgrade ausrollen und müsste auch Ruhe haben.

Hat jemand zufällig ein NTLite rumliegen mit dem man das testen kann?
7907292512
7907292512 28.07.2023 aktualisiert um 23:14:01 Uhr
Goto Top
Hatte das vorhin mal getestet. Der Dienst bleibt nach dem Reboot deaktiviert. Jedoch wenn man versucht ihn manuell zu starten gelingt das trotzdem der Dienst deaktiviert ist und Windows macht die Änderung wieder rückgängig. Sollte also noch ein "Heilungstask" bspw. in Form eines Scheduled Task existieren würde er die Änderungen auch wieder rückgängig machen, diese müssen also auch deaktiviert werden. Hatte die Existenz solcher Tasks aber noch nicht geprüft.
Man könnte auch versuchen die Dienst-EXE umbenennen etc. , schätze aber das bei Updates Windows versucht sich wieder selbst zu heilen und diesen vermutlich wiederherstellt.
Man könnte auch versuchen den Dienst komplett zu entfernen mittels "sc delete" & Co., Auswirkungen unbekannt ...
Morgen mal mit einer VM etwas spielen.
MysticFoxDE
MysticFoxDE 29.07.2023 um 08:23:28 Uhr
Goto Top
Moin @7907292512,

Hatte das vorhin mal getestet. Der Dienst bleibt nach dem Reboot deaktiviert. Jedoch wenn man versucht ihn manuell zu starten gelingt das trotzdem der Dienst deaktiviert ist und Windows macht die Änderung wieder rückgängig. Sollte also noch ein "Heilungstask" bspw. in Form eines Scheduled Task existieren würde er die Änderungen auch wieder rückgängig machen, diese müssen also auch deaktiviert werden. Hatte die Existenz solcher Tasks aber noch nicht geprüft.

Ich habe mindestens zwei versteckte Tasks im Zusammenhang mit dem Defender gefunden.
Es gibt einen "DefenderCleanup" Task und einen "DefenderVerifikation".
Der letztere könnte der Wiederbelebungstask sein.

Man könnte auch versuchen die Dienst-EXE umbenennen etc. , schätze aber das bei Updates Windows versucht sich wieder selbst zu heilen und diesen vermutlich wiederherstellt.
Man könnte auch versuchen den Dienst komplett zu entfernen mittels "sc delete" & Co., Auswirkungen unbekannt ...
Morgen mal mit einer VM etwas spielen.

Ich habe soeben in einer W11 VM alles in der Registry rausgeschmissen was nach Defender gerochen hat.
Danach bootet das Windows bis zum Loginscreen und nachdem dieser Auftaucht, kommt 1-2 Sekunden später ein Bluescreen. 😭

Gruss Alex
beidermachtvongreyscull
beidermachtvongreyscull 29.07.2023 um 09:08:40 Uhr
Goto Top
Zitat von @MysticFoxDE:
Ich habe soeben in einer W11 VM alles in der Registry rausgeschmissen was nach Defender gerochen hat.
Danach bootet das Windows bis zum Loginscreen und nachdem dieser Auftaucht, kommt 1-2 Sekunden später ein Bluescreen. 😭

Gruss Alex

Moin Alex,

wenn Du das an einem Live-Image probiert hast, wundert es mich nicht zu sehr. Durch den Setup-Prozess wird meiner Ansicht nach einiges in Stein gemeißelt, was vorher nur auf Papier stand.

Gruß
Andreas
MysticFoxDE
MysticFoxDE 29.07.2023 aktualisiert um 10:24:52 Uhr
Goto Top
Moin Andreas,

wenn Du das an einem Live-Image probiert hast, wundert es mich nicht zu sehr. Durch den Setup-Prozess wird meiner Ansicht nach einiges in Stein gemeißelt, was vorher nur auf Papier stand.

ich fürchte wir haben ein ganz anderes Problem.
So wie es aussieht, tut Microsoft den Defender immer mehr mit dem OS "verheiraten" und auch dafür sorgen, dass man diese Zwangsheirat ja nicht mehr auflösen kann.

Wenn ich das folgende ...

https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoi ...

richtig verstehe, dann kann man den Defender nicht mehr vollständig deaktivieren, sondern nur noch in den passiven Modus versetzen.
Das mit dem passiven Modus klappt aber auch nur dann, zumindest der MS Theorie nach, wenn auf diesem Rechner eine AV eines Drittanbieters installiert ist.
Wenn auf dem Rechner keine AV eines Drittanbieter installiert ist, lässt sich der Defender so wie es aussieht nicht mehr vollständig deaktivieren. 😭
Ich habe das mit dem "ForceDefenderPassiveMode" gerade an meiner Workstation probiert, hat aber nichts gebracht.

defender on

Ich glaube Microsoft hat aus dem folgenden wohl nichts dazugelernt und möchte anscheinend wieder zahlen. 😔😎
https://www.tagesschau.de/wirtschaft/microsoft-ts-118.html

Gruss Alex
7907292512
7907292512 29.07.2023 aktualisiert um 10:59:00 Uhr
Goto Top
Du könntest auch versuchen Windows vorzugaukeln es wäre eine andere Antivirus Suite installiert.
Dazu bräuchtest du dir IMHO nur die signierte EXE einer der diversen Suiten und das Hinzufügen einer Instanz der Klasse AntivirusProduct im WMI Namespace root/SecurityCenter. Zumindest ging das früher mal so.
Vielleicht das mal für dich als möglicher Ansatz.

Tja Winblows, never ending Story! Hier ist es so friedlich in meiner Linux-Ecke, alles läuft so wie man es selbst einstellt und keiner gängelt einen zur irgendwas ... das Leben kann so schön sein 😁. Winblows == vergeudete Lebenszeit
MysticFoxDE
MysticFoxDE 29.07.2023 um 11:13:41 Uhr
Goto Top
Moin @7907292512,

Du könntest auch versuchen Windows vorzugaukeln es wäre eine andere Antivirus Suite installiert.
Dazu bräuchtest du dir IMHO nur die signierte EXE einer der diversen Suiten und das Hinzufügen einer Instanz der Klasse AntivirusProduct im WMI Namespace root/SecurityCenter.
Vielleicht das mal für dich als möglicher Ansatz.

ganz ehrlich, das ist mir jetzt schon alles zu viel.
Ich möchte eine einfache Möglichkeit haben, mit der ich den Defender vollständig deinstallieren kann, so wie das auch bei jeder anderen AV Lösung gegeben ist!

Tja Winblows, never ending Story! Hier ist es so friedlich in meiner Linux-Ecke, alles läuft so wie man es selbst einstellt und keiner gängelt einen zur irgendwas ... das Leben kann so schön sein 😁. Winblows == vergeudete Lebenszeit

Ich sagt das jetzt mal vorsichtig so ... stand jetzt, kann man bei einem aktuelles Windows 11 ohne weiters Zutuen, auf keinen Fall sicherstellen, dass eine Verarbeitung von z.B. personenbezogenen Daten, auch nur ansatzweise DSGVO oder BDSG oder LDSG konform geschieht. 🙁

Weil es bei einem aktuellen Windows 10/11 und vor allem wenn es auf Standardeinstellungen läuft, schlichtweg nicht sichergestellt ist, das die auf diesem Windows verarbeiteten personenbezogenen Daten, nicht an unbefugte Dritte wie z.B. Microsoft, weitergeleitet werden! 😔

Ich habe von diesem Zwangsbespitzelungswahn dieser Microsoftianer nun vollends die Schnauze voll.
Man installiert ein W11 auf einem Rechner ohne Netzanbindung, bootet den Rechner durch und nach der ersten Anmeldung begrüsst mich dann einen ein Popup mit ... "Die Diagnoseebene ihres Gerätes wurde von ihrem Administrators oder von ihrer Organisation auf Erforderlich festgelegt."
Ja klar ... ohne Netzanbindung ... 🙈

Den Rest sollte nun glaube ich am besten unser Bundesdatenschutzbeauftragter übernehmen.

Gruss Alex
7907292512
7907292512 29.07.2023 aktualisiert um 12:37:52 Uhr
Goto Top
Den Rest sollte nun glaube ich am besten unser Bundesdatenschutzbeauftragter übernehmen.
Ich glaube das erledigt sich irgendwann von ganz alleine wenn MS&Co. sich selbst von hier verabschieden weil ihnen die Gängelungen Sonderwünsche und Strafzahlungen unserer Regierungen irgendwann zum Hals raus hängen.
beidermachtvongreyscull
Lösung beidermachtvongreyscull 29.07.2023 um 17:24:33 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Andreas,

wenn Du das an einem Live-Image probiert hast, wundert es mich nicht zu sehr. Durch den Setup-Prozess wird meiner Ansicht nach einiges in Stein gemeißelt, was vorher nur auf Papier stand.

ich fürchte wir haben ein ganz anderes Problem.
So wie es aussieht, tut Microsoft den Defender immer mehr mit dem OS "verheiraten" und auch dafür sorgen, dass man diese Zwangsheirat ja nicht mehr auflösen kann.

Wenn ich das folgende ...

https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoi ...

richtig verstehe, dann kann man den Defender nicht mehr vollständig deaktivieren, sondern nur noch in den passiven Modus versetzen.
Das mit dem passiven Modus klappt aber auch nur dann, zumindest der MS Theorie nach, wenn auf diesem Rechner eine AV eines Drittanbieters installiert ist.
Wenn auf dem Rechner keine AV eines Drittanbieter installiert ist, lässt sich der Defender so wie es aussieht nicht mehr vollständig deaktivieren. 😭
Ich habe das mit dem "ForceDefenderPassiveMode" gerade an meiner Workstation probiert, hat aber nichts gebracht.

defender on

Ich glaube Microsoft hat aus dem folgenden wohl nichts dazugelernt und möchte anscheinend wieder zahlen. 😔😎
https://www.tagesschau.de/wirtschaft/microsoft-ts-118.html

Gruss Alex

Hi Alex,

ich bin eben hier rüber gestolpert: https://github.com/ionuttbara/windows-defender-remover
Muss noch schauen, ob's was wert ist.

Gruß
Andreas
MysticFoxDE
MysticFoxDE 29.07.2023 um 20:50:01 Uhr
Goto Top
Moin Andreas,

ich bin eben hier rüber gestolpert: https://github.com/ionuttbara/windows-defender-remover
Muss noch schauen, ob's was wert ist.

😯 ... das sieht sehr interessant aus, danke. 👍

Bin gerade schon dabei meine W11 VM neu aufzusetzen.
Ich habe, bevor ich mit dem eigenen Rausrupfen begonnen habe zwar einen Snapshot auf der entsprechenden VM gesetzt, wenn ich auf den Zustand davor zurückspringe, kommt nun trotzdem ein Bluescreen. 😵‍💫
Egal, war eh nur eine Test VM und die neue ist schon fast fertig. 😁

Gruss Alex
MysticFoxDE
MysticFoxDE 29.07.2023 um 22:21:02 Uhr
Goto Top
Moin Zusammen,

kleine Ergänzung zu dem zu viel nach Hause plaudern.
Ich habe soeben auf der Test-VM ein W11 Enterprise installiert, bei den ich das senden der Diagnosedaten eigentlich komplett deaktivieren können sollte. Bei der Einrichtung nach dem Setup kann ich nun aber nur "Optional einschließen" oder "Nur Erforderlich" auswählen aber nicht "Diagnosedaten aus", obwohl das lauf der Aussage von Microsoft selbst ...

https://learn.microsoft.com/de-de/windows/privacy/configure-windows-diag ...

diagnosedaten

... in dieser Version eigentlich möglich sein sollte.

Ja, ich weiss, dass ich diese Einstellung per GPO erzwingen kann.
Warum muss ich das jedoch umständlich per GPO erzwingen, wenn laut der geltenden Gesetzeslage für solche Dinge eine Opt-In Plicht besteht und somit "Diagnosedaten aus" eigentlich die Standardeinstellung bei allen Windows Versionen sein und nicht nur eine optionale Einstellungsmöglichkeit bei Windows Server, Windows Enterprise und Windows Education-Editionden. 🤨

Gruss Alex
MysticFoxDE
MysticFoxDE 30.07.2023 um 08:07:49 Uhr
Goto Top
Moin Andreas,

ich bin eben hier rüber gestolpert: https://github.com/ionuttbara/windows-defender-remover
Muss noch schauen, ob's was wert ist.

so, jetzt habe ich das Ding mal ausprobiert und schon einen Teil des Quellcodes durchgeackert und bin bisher absolut begeistert.

Das Tool macht bei mir genau das was es verspricht und der Quellcode macht so wie ich das bisher gesehen habe, auch nichts unanständiges.
defender off
😁

Vielen Dank nochmals für diesen sehr interessanten und auch sehr wertvollen Hinweis.

Gruss Alex
beidermachtvongreyscull
beidermachtvongreyscull 30.07.2023 um 09:13:59 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Andreas,

ich bin eben hier rüber gestolpert: https://github.com/ionuttbara/windows-defender-remover
Muss noch schauen, ob's was wert ist.

so, jetzt habe ich das Ding mal ausprobiert und schon einen Teil des Quellcodes durchgeackert und bin bisher absolut begeistert.

Das Tool macht bei mir genau das was es verspricht und der Quellcode macht so wie ich das bisher gesehen habe, auch nichts unanständiges.
defender off
😁

Vielen Dank nochmals für diesen sehr interessanten und auch sehr wertvollen Hinweis.

Gruss Alex

Moin Alex,

cool. Danke für die Vorarbeit. Bin noch nicht dazu gekommen.
Ich befürchte derzeit nur, dass man damit rechnen muss, dass der Defender durch monatliche Windows-CUs ständig repariert und reinstanziert werden wird. MS hat diese Unart auch eine Zeit lang mit dem Edge gemacht. Man hat ihn deinstalliert und nach einem CU war er wieder drauf.

Gruß und schönen Sonntag
Andreas
MysticFoxDE
MysticFoxDE 30.07.2023 um 16:58:25 Uhr
Goto Top
Moin Andreas,

Ich befürchte derzeit nur, dass man damit rechnen muss, dass der Defender durch monatliche Windows-CUs ständig repariert und reinstanziert werden wird.

ja, das ist zu befürchten, daher sehe ich den Remover auch nicht als Endlösung an sondern eher als Übergangslösung, bis jemand diese Abart von Microsoft wieder zurecht gebogen hat.

MS hat diese Unart auch eine Zeit lang mit dem Edge gemacht. Man hat ihn deinstalliert und nach einem CU war er wieder drauf.

Und genau wegen solchen Zwangsgängelungen und auch wegen der immer bescheidener werdenden Performance von Windows, kann ich Microsoft auch immer weniger leiden.

Wünsche dir auch einen schönen Sonntag.
Gruss Alex
MysticFoxDE
MysticFoxDE 07.08.2023 um 07:44:21 Uhr
Goto Top
Moin Andreas,

MS hat diese Unart auch eine Zeit lang mit dem Edge gemacht. Man hat ihn deinstalliert und nach einem CU war er wieder drauf.

schau mal was der Ionut bezüglich Edge auch schon gezaubert hat. 😉

https://github.com/ionuttbara/edge-remover/releases/tag/release2.7

Der Junge wird mir immer sympathischer, der scheint den Murks welchen MS mittlerweile produziert, mindestens genau so gern zu haben wie ich. 🤪

Gruss Alex
beidermachtvongreyscull
beidermachtvongreyscull 07.08.2023 um 17:35:55 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Andreas,

MS hat diese Unart auch eine Zeit lang mit dem Edge gemacht. Man hat ihn deinstalliert und nach einem CU war er wieder drauf.

schau mal was der Ionut bezüglich Edge auch schon gezaubert hat. 😉

https://github.com/ionuttbara/edge-remover/releases/tag/release2.7

Der Junge wird mir immer sympathischer, der scheint den Murks welchen MS mittlerweile produziert, mindestens genau so gern zu haben wie ich. 🤪

Gruss Alex

Moin Alex,

allerliebst

Ich hab das bisher immer mit einem Post-Installation-Script gemacht, das ich in der install.wim eingebaut habe. Wird nach dem OOBE-Dialog ausgeführt und wech ist er.

Er bleibt bisweilen auch fort, weil ich keine CUs ausrolle. Ich schau mir die Lösung mal an und implementiere die direkt in die nächste ISO.

Vielen Dank

Gruß
Andreas