Quantcast
PplWare Mobile

Não pode desligar o Windows Defender no Windows 10? Microsoft já explicou a razão

                                    
                                

Fonte: Microsoft

Autor: Pedro Simões


  1. Vasco says:

    Mas continua a ser possivel fazer a desactivação temporária no interface do defender?

    • neo says:

      Quando o Defender está modo ativo existe a capacidade de ativar o Tamper Protection para que este não seja desligado em circunstância alguma, não só isso, como não permite interferência nos ficheiros de assinatura, intelligence updates, etc.
      Quando o Defender está em modo passivo, tal acontece quando existe outra solução de anti malware, ele continua a ter a possibliidade de suportar um subset funcional avançado de proteção, é especialmente relevante em Windows Pro ou Enterprise onde existem soluções avançadas como o Microsoft Defender ATP que requerem o Defender pelo menos em modo Passivo.
      A chave de registry, que não é só a que está descrita no artigo, na realidade são 2 chaves, forçava o Defender em modo Inativo, alguns AV vendors usavam essa chave (má opção…) para garantir que apenas o AV deles estava a atuar na máquina, não trazia qualquer vantagem para o utilizador final.

      Acontece que caso um atacante conseguisse comprometer um device Windows com malware, podia recorrer às chaves de registry (requer reboot) para manter o Defender inativo e a partir daí correr malware livremente. Foi este mecanismo que foi retirado ao atacante, que é essencial para que o Tamper Protection na máquina atua como deve de ser, e não é apenas ao nível de Chaves de Registry que o Tamper protection funciona, é muito mais do que isso.

      • Carlos Fernandes says:

        “não trazia qualquer vantagem para o utilizador final” e em consumo de memória?só para saber?

        • neo says:

          Em bom rigor qq software que corra num PC consome ciclos de CPU e memória, é absolutamente marginal o Defender em modo passivo. Em modo ativo os testes realizados por entidades independentes como a AV-Test dão-lhe nota máxima (6) em segurança, usabilidade e performance a par com algumas soluções comerciais pagas.
          Notar que o Tamper Protection tal como foi desenhado é único, são alterações muito profundas que tornaram o AV modular, de maneira a que os processos essenciais de funcionamento do AV não tenham direitos sobre o OS, o que se traduz em anular (nunca nada é absoluto…) exploração por Kernel Level exploits, migração de processos, etc. A implementação que é feito no Antimalware Malware Scaninterface (AMSI) é a mais profunda, esta componente está no OS e é aberta para a qualquer AV vendor para que possa explorar de forma segura as chamadas ao sistema e interagir com áreas sensíveis, o Fabricante sendo ele do OS e AV leva isso ao extremo, e é de tal forma importante que permite endereçar os ataques mais comuns de malware com recurso a scripts ofuscados, macros maliciosas, etc, em boa parte usados para exploração em Living off the Land (filess malware).

    • neo says:

      Já agora respondendo à questão, se a preocupação é algo do tipo, tendo o Defender e Tamper Protection ativos, consigo executar determindo tipo de software que eventualmente é bloqueado? A resposta é sim, pode usar a funcionalidade de exclusões por Ficheiro, Pasta, Processo, dessa forma permite que determinado software mesmo sendo malicioso corra na máquina, mas tem que explicitamente acrescentá-lo.

      Isto em ambientes empresariais, onde o Microsoft Defender ATP, solução avançada (Endpoint Detection and Response) que complementa o AV (Endpoint Platform Protection) seja ele Microsoft Defender ou outro, esteja o malware nas exceções ou não para ser executado, mesmo sendo suprimido pela deteção do AV vai detetar essa mesma execução e bloquear esse mesmo Malware.

      • Jorge says:

        As respostas do “neo” são tão estonteantes e esclarecedoras, que os malandros que costumam mandar bitaites para o ar optaram por se calar!

      • Vasco says:

        Neo muito obrigado pela resposta. Fiquei completamente esclarecido. No meu caso a desactivação é feita apenas pontualmente para permitir a exclusão apenas posteriormente à execução, quando aparece a mensagem de alerta. São circunstâncias muito específicas claro. Adorei ficar a conhecer os modos de funcionamento do Defender e respectivas diferenças. Novamente o meu obrigado pois foi uma resposta muito esclarecedora.

  2. LA says:

    Então e para o caso de ser uma maquina só para desenvovimento, em que pelas caracteristicas, não é necessário, nem conveniente, ter um AV instalado.

    • Manuel da Costa says:

      Use uma sandbox e execute lá os programas que queira experimentar. Muito mais seguro e eficaz do que estar a mexer nos dados base.
      (Pensava eu que 100% dos developers só usavam sandboxs até terem as versões Alpha-5000 para cima, para experiências em diferentes ambientes e drivers… enganei-me ou não?)

  3. Pedro Lucas says:

    Ou seja, solução, toca a implementar um dummy anti-virus que permita que o Defender o veja e se desligue. Nada que hackers já não tenham pensado.

  4. RedTux says:

    Que comédia. Microsoft a ser Microsoft… Portanto o programa que supostamente defende de malware é ele próprio malware e comporta-se como tal… Comam e não bufem, otários!

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.