Как отключить (на основе подписи) сканирование в реальном времени и оставить включенным мониторинг поведения в Защитнике Windows?

Question

Я считаю, что Защитник Windows, включенный в Windows 10, реализует некоторые формы защиты, помимо обнаружения угроз на основе сигнатур. Два параметра групповой политики указывают на это: « Включить мониторинг поведения » и « Отслеживать активность файлов и программ на вашем компьютере ».

Так как мне действительно не нравится обнаружение на основе сигнатур (и вместо этого я применяю действительно строгую политику для уменьшения угрозы), я в своих интересах отключить сканирование файлов в реальном времени в моей системе Windows 10, но без полного отключения защиты в реальном времени. Это можно сделать?

Существует параметр политики, который называется « Отключить защиту в реальном времени », но, судя по его названию, я боюсь, что он отключает другие компоненты. Также есть « Сканировать все загруженные файлы и вложения », которые я попытался установить на «Отключено», но, похоже, не работает (просмотр файлов и подключение внешних дисков по-прежнему вызывает сканирование файлов).

Благодарю.

Answer 1

Сам нашел ответ (подробнее здесь). По сути, это так же просто, как установить для групповой политики « Monitor file and program activity on your computer значение « Отключено».

Для пользователей выпусков Windows без gpedit.msc необходимо создать запись DWORD с именем DisableOnAccessProtection разделе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender\Real-Time Protection и установить значение 1.

Имя этой записи реестра точно говорит о том, что фактически делает "Мониторинг активности файлов и программ". Он сканирует файлы "При доступе" (например, когда проводник Windows выводит содержимое каталога). Ничего более.