如何彻底关闭Windows自带杀毒功能？

一、Windows Defender 防病毒服务禁用机制的深度解析

在企业级系统管理或高级开发环境中，用户常因性能优化、第三方安全软件集成或测试环境隔离等需求，尝试彻底关闭 Windows Defender 防病毒服务。然而，即便通过图形界面关闭“实时保护”，系统仍可能在重启、更新或策略同步后自动恢复该功能。其背后涉及多个组件的联动机制：

• Windows Security Service (WSS)
• Security Center (wscsvc)
• Windows Defender Antivirus Service (WinDefend)
• Group Policy Client (gpsvc)
• Windows Update (wuauserv)

这些服务与注册表策略、组策略对象（GPO）、以及 Windows 安全中心状态监控形成闭环控制，导致单一操作难以实现持久化禁用。

二、常见问题现象与触发条件分析

问题现象	触发条件	关联组件
实时保护自动开启	系统重启或登录	WinDefend, WSC
组策略设置被覆盖	域策略刷新（gpupdate）	Gpsvc, AD GPO
注册表项被重置	Windows 更新后	TrustedInstaller, CBS
服务无法停止（拒绝访问）	权限不足或服务锁定	SCM, UAC
第三方杀毒未正确接管	未注册为安全提供者	WSC API
任务计划程序触发恢复	每日维护任务	Task Scheduler
MpCmdRun.exe 自动执行扫描	计划任务或更新	Microsoft Defender Scheduled Scan
注册表权限被系统保护	TrustedInstaller 占有所有权	SID S-1-5-80-...
组策略编辑器不可用	家庭版系统限制	gpedit.msc 缺失
注册表路径无效	路径拼写错误或版本差异	HKEY_LOCAL_MACHINE\SOFTWARE\Policies\...

三、技术解决路径：从浅层配置到深层持久化

1. 方法一：通过组策略禁用（适用于专业版及以上）

2. 运行 gpedit.msc，导航至：

   Computer Configuration → Administrative Templates → Windows Components → Microsoft Defender Antivirus
     

   启用以下策略：

   • "Turn off Microsoft Defender Antivirus" → 设置为“已启用”
   • "Real-time protection" → 启用并关闭所有子项
   • "MAPS Reporting" 和 "Sample Submission" → 禁用
3. 方法二：注册表深度修改（支持家庭版）

4. 使用管理员权限打开注册表编辑器（regedit），定位至：

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
     

   若路径不存在，需手动创建。设置以下键值：

   键名	类型	值
   DisableAntiSpyware	DWORD	1
   DisableAntiVirus	DWORD	1
   ServiceKeepAlive	DWORD	0

   进一步，在 Real-Time Protection 子项中设置：

   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
   "DisableRealtimeMonitoring"=dword:00000001
   "DisableBehaviorMonitoring"=dword:00000001
   "DisableOnAccessProtection"=dword:00000001
   "DisableScanOnRealtimeEnable"=dword:00000001
     

5. 方法三：服务管理与权限控制

6. 通过 SC 命令禁用服务启动：

   sc config WinDefend start= disabled
   sc stop WinDefend
     

   同时禁用相关服务：

   sc config wscsvc start= disabled
   sc stop wscsvc
     

   注意：部分系统版本中 WinDefend 被保护，需先解除 TrustedInstaller 所有权。

7. 方法四：阻止计划任务自动恢复

8. 进入任务计划程序库：

   Task Scheduler Library → Microsoft → Windows → Windows Defender
     

   禁用以下任务：

   • Windows Defender Scheduled Scan
   • Windows Defender Cleanup
   • MP Scheduled Scan

四、防止策略回滚的关键措施

graph TD A[开始] --> B{是否为企业/域环境?} B -- 是 --> C[通过域GPO统一推送禁用策略] B -- 否 --> D[本地组策略或注册表修改] D --> E[备份原始注册表项] E --> F[设置注册表权限锁定] F --> G[使用icacls或SubInACL禁止SYSTEM修改] G --> H[禁用Windows Update中的Defender更新] H --> I[部署脚本定期校验状态] I --> J[结束] C --> J

为防止 Windows 更新后 Defender 自动恢复，可采取如下措施：

• 阻止 wd-bootupdater 组件更新
• 删除或重命名 %ProgramFiles%\Windows Defender\MpCmdRun.exe
• 使用防火墙规则阻断 Defender 连接微软云服务（如 rs1.metron.live.com.nsatc.net）

五、风险提示与替代建议

彻底禁用 Windows Defender 可能导致以下后果：

• 系统安全评级下降，影响 BitLocker 或 Device Guard 启用
• Microsoft 365 Defender 等云端防护失效
• 某些应用（如 Edge、OneDrive）安全检查失败
• 违反企业合规策略（如 HIPAA、GDPR）

推荐替代方案：

# 使用 PowerShell 临时关闭实时保护（更安全）
Set-MpPreference -DisableRealtimeMonitoring $true

# 注册第三方 AV 并让 Defender 自动退出
# 第三方需调用 WSC API 注册为“主要防病毒产品”