[Mr.Merak]

Тема изначально от сюда, но я решил создать новую, чтобы подробно описать проблему по шагам. Может у кого появятся свежие идеи на эту тему.

Цель. Я хочу чтобы дефендер только уведомлял о найденной угрозе и сам никаких действий к ней не применял.

Теория нам говорит, что нужно для начала в powershell сделать так:

Код:

Set-MpPreference -UnknownThreatDefaultAction 9
Set-MpPreference -LowThreatDefaultAction 9
Set-MpPreference -ModerateThreatDefaultAction 9
Set-MpPreference -HighThreatDefaultAction 9
Set-MpPreference -SevereThreatDefaultAction 9

Проверяем:

Код:

Get-MpPreference| Out-String -stream | Select-String action

(еще подтверждение в: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction\)

Также, в настройках нам нужно убрать галку с "Защита от подделки". Опции для её отключения через powershell нет, но так мы можем убедится что оно и вправду отключено:

Код:

get-MpComputerStatus| Out-String -stream | Select-String tamper

(еще подтверждение в: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features\)

Теперь берем вирусню, к примеру на MalwareBazaar и смотрит что произойдёт после распаковки.

Результат. Мало того что он "съедет" вирусню, но также делает пометку в журнале VirTool:Win32/DefenderTamperingRestore и удаляет наши значения в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction\

Все это актуально для Win10 21H2 Pro.