Windows 10用の更新プログラムKB4541301、KB4541302、およびKB4559309は、Microsoft EdgeをChromiumバージョンに置き換えます

Microsoftは、Windows 10AntivirusをDisableAntiSpywareで無効にできない理由を説明しています

2月 23, 2021 Windows 10の管理

Microsoftは、Windows10のDisableAntiSpywareレジストリキーを使用してMicrosoftDefender Antivirusを無効にできないことを正式に確認しています。この変更は、偽造防止セキュリティ機能の一部です。

新着情報?

Windows 10 May 2019 Update(バージョン1903)のリリースに伴い、Microsoftは偽造防止を導入しました。これにより、WindowsセキュリティとMicrosoftDefenderがWindowsインターフェイスの外部で設定を変更できなくなります。 「設定」という用語には、コマンドラインツール、レジストリの変更、およびグループポリシーも含まれます。

Microsoft Defender Antivirusは、レジストリを使用して無効にできなくなりました

これまで、Windows 10ユーザーは、[Windows Defenderウイルス対策をオフにする]グループポリシーを使用して、WindowsDefenderをオフにすることができました。

このポリシーを有効にすると、DisableAntiSpywareパラメータがシステムレジストリに作成され、パスに沿って値が1になります。

HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender

Microsoft Defenderは、このレジストリエントリを尊重しなくなりました。この振る舞いは「偽造防止」の仕事に関係していることがわかりました。

DisableAntiSpywareパラメーターのドキュメントで、同社は次のように説明しています。

別のウイルス対策プログラムが検出されるとMicrosoftDefenderが自動的に無効になるため、この非推奨の設定は不要になりました。

このパラメータは「偽造防止」によって保護されていることに注意してください。偽造防止は、バージョン1903以降のすべてのWindows 10HomeおよびProエディションでデフォルトで使用できます。

すべてがそれほど単純なわけではありません

特に、BleepingComputerとComss.oneによるテストでは、改ざん防止が有効になっている場合でも、DisableAntiSpywareレジストリ値がしばらくの間機能し続けることが示されました。

この設定を有効にしてからコンピューターを再起動すると、その特定のセッションでMicrosoftDefenderが無効になります。ただし、その後の再起動時に、改ざん防止機能によってWindows Defenderがトリガーされ、再度有効になります。

この短期間の保護の喪失でさえ、マルウェアがWindowsコンピューターに侵入するのに十分です。

TrickBot、Novter、Clop Ransomware、Ragnarok Ransomware、AVCrypt Ransomwareなど、Windows Defenderを特に標的とし、DisableAntiSpyware値を使用して無効にしたマルウェアが以前に特定されています。

マイクロソフトは、このポリシーが不要になっただけでなく、攻撃者がこの偽造防止の脆弱性を悪用するのを防ぐために、このポリシーを削除した可能性があります。

マイクロソフトは変更の本当の理由を明らかにした

マイクロソフトのWindowsメッセージセンターで、レドモンドは、改ざん防止保護を強化するために、DisableAntiSpywareが現在無視されているという疑いを確認しました。

DisableAntiSpyware設定を削除することによる偽造防止の改善

Microsoft Defender Anti-Counterfeitingは、すべてのWindows 10コンシューマーデバイスでデフォルトで有効になっています。この機能は、データへのアクセス、マルウェアのインストール、またはその他の方法でユーザーデータを悪用しようとして、組み込みのセキュリティソリューションを無効にしようとするサイバー攻撃からデバイスを保護します。 。識別データとデバイス。

Microsoft Defender Antivirusは、別のウイルス対策プログラムを検出すると自動的に無効になるため、古いDisableAntiSpywareレジストリエントリを削除します。 DisableAntiSpywareは、インストール中に別のウイルス対策製品を展開するために、OEMおよびIT管理者がMicrosoft DefenderAntivirusを無効にするために使用することを目的としていました。

この設定はコンシューマーデバイスには適用されなくなり、マルウェア対策クライアントバージョン4.18.2007.8以降から削除されます(詳細については、KB4052623を参照してください)。この更新プログラムは、将来、Windows EnterpriseE3およびE5を実行しているデバイスに展開される予定です。

DisableAntiSpywareポリシーが削除されると、マルウェアは偽造防止の脆弱性を悪用できなくなり、Microsoft Defenderは、Windows設定インターフェイスで変更が行われた場合(アクティブセッション中)または他のウイルス対策ソフトウェアがインストールされた場合にのみ無効になります。

Defender Control(Windows Defenderの無効化)やConfigure Defender(保護コンポーネントの管理)など、MicrosoftDefenderの一部のサードパーティのカスタマイズソリューションは引き続き機能することに注意してください。