问题[windows-defender](computer)

我试图了解为什么我的 WDAC 策略不允许我使用事件查看器日志列出的程序运行。

这就是我根据事件查看器审核日志制作 WDAC 策略允许列表的方式：

New-CIPolicy -FilePath .\EventsPolicy.xml -Audit -Level FilePath –UserPEs -UserWriteablePaths -MultiplePolicyFormat 3> .\EventsPolicyWarnings.txt

我只想使用 FilePath，因为当程序更新到较新版本时，不需要更新策略。

一些负责应用程序允许列表的部分来自 EventViewer 策略：

<Allow ID="ID_ALLOW_A_6" FriendlyName="GLOBALROOT\Device\HarddiskVolume4\Program Files\7-Zip\7zFM.exe FileRule" MinimumFileVersion="0.0.0.0" FilePath="GLOBALROOT\Device\HarddiskVolume4\Program Files\7-Zip\7zFM.exe" />
 <Allow ID="ID_ALLOW_A_14" FriendlyName="GLOBALROOT\Device\HarddiskVolume4\Program Files\7-Zip\7-zip.dll FileRule" MinimumFileVersion="0.0.0.0" FilePath="GLOBALROOT\Device\HarddiskVolume4\Program Files\7-Zip\7-zip.dll" />
<Allow ID="ID_ALLOW_A_11" FriendlyName="GLOBALROOT\Device\HarddiskVolume4\Program Files\Mullvad VPN\resources\mullvad-daemon.exe FileRule" MinimumFileVersion="0.0.0.0" FilePath="GLOBALROOT\Device\HarddiskVolume4\Program Files\Mullvad VPN\resources\mullvad-daemon.exe" />

创建此策略后，我将其与我之前制定的基于 Microsoft ISG（签名和信誉模式）的策略合并，在最终策略中，合并的结果是我设置的策略规则：

<Rules>
<Rule>
  <Option>Enabled:Unsigned System Integrity Policy</Option>
</Rule>
<Rule>
  <Option>Enabled:UMCI</Option>
</Rule>
<Rule>
  <Option>Enabled:Inherit Default Policy</Option>
</Rule>
<Rule>
  <Option>Enabled:Update Policy No Reboot</Option>
</Rule>
<Rule>
  <Option>Enabled:Intelligent Security Graph Authorization</Option>
</Rule>
<Rule>
  <Option>Enabled:Developer Mode Dynamic Code Trust</Option>
</Rule>
<Rule>
  <Option>Enabled:Revoked Expired As Unsigned</Option>
</Rule>
<Rule>
  <Option>Required:Enforce Store Applications</Option>
</Rule>
<Rule>
  <Option>Required:WHQL</Option>
</Rule>
<Rule>
  <Option>Enabled:Dynamic Code Security</Option>
</Rule>
<Rule>
  <Option>Disabled:Runtime FilePath Rule Protection</Option>
</Rule>
<Rule>
  <Option>Enabled:Invalidate EAs on Reboot</Option>
</Rule>
<Rule>
  <Option>Enabled:Allow Supplemental Policies</Option>
</Rule>
<Rule>
  <Option>Enabled:Advanced Boot Options Menu</Option>
</Rule>
<Rule>
  <Option>Enabled:Unsigned System Integrity Policy</Option>
</Rule>

起初，我认为在 SYSTEM 用户下运行的程序是内核模式驱动程序。阅读下面的评论和答案，我意识到事实并非如此。是什么让我这么想的是 1)

在这里：在“文件路径”旁边

它说：“FilePath 规则仅适用于用户模式二进制文件，不能用于允许内核模式驱动程序。”

和 2)

当我使用它根据事件查看器日志创建 WDAC 策略允许列表时，只有以 SYSTEM 身份运行的程序无法运行，而其他程序（如 7-zip）被允许运行。

New-CIPolicy -FilePath .\EventsPolicy.xml -Audit -Level FileName -Fallback FilePath –UserPEs -UserWriteablePaths -MultiplePolicyFormat 3> .\EventsPolicyWarnings.txt 

使用此创建的 WDAC 策略允许所有已被 WDAC 阻止的程序运行：

New-CIPolicy -FilePath .\EventsPolicy.xml -Audit -Level hash –UserPEs -UserWriteablePaths -MultiplePolicyFormat 3> .\EventsPolicyWarnings.txt 

出于某种原因，自一个月前以来，我们的设备还没有收到解决 follina 漏洞的 Windows 10 更新。这让我们的曝光分数看起来很糟糕……为什么还没有发出呢？我在端点管理器中创建了一个攻击面规则，以阻止微软推荐的底层办公室执行，但它看起来并不影响/提高防御者的得分。

更新还没有推出吗？我们是否应该期待在未来几周内发生一些变化？

检查 KB5014699 更新（如果已安装）：

检查注册表，似乎没有阻止 Windows 更新的策略：

非盟：

gpedit：企业版 Windows 更新

更新：我已将我的 PC 更新为 20H2 -> 21H2 功能更新，现在我的设备不再显示为暴露设备！尽管如此，问题仍然是为什么之前没有自动发送此更新？

我对计算机不太了解，哈哈，但这一直困扰着我。

不久前我打开了受控文件夹，只是因为我认为打开它很好，而且大约在同一时间，我不断收到 Norton Security Ultra 的弹出窗口，说我的保护是“已故！”“消失了！” ” 等等。我从不理会它们，并在它们弹出时退出它们。

无论如何，现在我不断收到来自 Windows Antivirus 的通知，即 Norton.exe 正在尝试访问和/或更改受控文件夹。我从未安装过 Norton 或其他任何东西，我只使用过 Windows Defender。我只是对诺顿正在尝试做这些事情感到毛骨悚然，但我从未下载过它。此外，我在我的文件夹中找不到任何与 Norton 相关的内容。（不知道这是否有区别，但我在笔记本电脑上顺便说一句）

这是我应该担心的事情吗？另外，如果需要担心的话，有没有办法让它停止？感谢您的帮助:) 我很感激

大约一周前，我将笔记本电脑移至 windows11，3-4 天后，我第一次听到 CPU 风扇噪音，尤其是当我不使用笔记本电脑 CPU 时，使用率很高。并抓住 Windows Defender 附带的罪魁祸首“msmpeng.exe”。

我没有在这台笔记本电脑上使用任何其他病毒防护或许多程序。只有 intellij 和 firefox 和 notepad++。我能做些什么来解决它？

这里看起来如何

我打开一个反馈票https://aka.ms/AAetifx如果您使用的是 Windows 11，请随时竖起大拇指。

当我尝试更改 msmpeng 系统的亲和力时不允许我

当我尝试运行gpedit.msc 结果是

这是winver输出

解决方案截图：

从电脑配置

我正在离线模式下测试 Windows Defender。我设置了这两个 GPO 条目

• 关闭实时保护：启用
• 关闭常规修复：已启用

我在 c:\ 中放置了一个 EICAR 测试病毒，并使用 powershell（版本 5）命令“Start-MpWDOSScan”开始离线扫描。

未找到 EICAR 病毒（检查事件日志）。在线快速扫描也是如此。只有在线全面扫描才能找到测试病毒。

似乎离线扫描会进行快速扫描。

是否可以将离线扫描配置为进行全面扫描？

我最近升级到Windows 11现在在 . Beta Channel，我唯一的非官方问题是Windows Security.

这是我尝试单击任何 Windows 安全链接时得到的结果

我尝试了官方文档、文章等的所有解决方案，但对我没有任何帮助。

注意：像Get-AppxPackage手动安装这样的命令在尝试执行它们时给了我一个错误。

版本：

Windows 11 Pro Version 21H2 build 22000.132

Windows Defender 在我的 system32\drivers 目录中找到了这个文件：gfdriver.sys。有人知道这个文件可能是什么吗？

我通常非常小心我在哪里浏览和下载什么，所以我很好奇我是如何得到它的。它来自哪里，我该怎么做才能不再下载它？

感谢您的帮助，谷歌并没有真正找到任何可靠的信息。

简而言之，我不希望“MsMpEng.exe”在后台运行。我尝试了组策略方法，但是当我重新启动时，该设置被设置回“未配置”。我已经尝试了 Registry 方法，但 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware 在重新启动后被自动删除。

Microsoft 是否积极阻止此类方法，并且根本不允许任何方法禁用它？我想我可以尝试更戏剧性的方法，比如在启动到安全模式后尝试删除 Windows Defender 目录，但如果可能的话，我想要一个更干净的方法。

PS：在任务管理器中，我右键单击“MsMpEng.exe”，然后选择“打开文件位置”。我打开了文件的属性，在 Security -> Advanced 中，我将文件的所有者从 TrustedInstaller 更改为我的帐户。然后我删除了所有继承的权限，并使我自己的帐户成为唯一可以访问该文件的帐户。我重新启动了操作系统，Windows Defender 无法自动启动，因为它无法执行“MsMpEng.exe”。我去了它的父目录，并删除了所有 Defender 的目录。在那之后，Windows 似乎可以正常启动/运行。

最近（至少从 build 2004 开始，我之前没有注意到这是否是一个问题）微软添加了一个“不错的”功能，它根本无法禁用 Windows Defender。

过去所有的方法都不再适用了。我尝试在“设置”中禁用它，它一直在重新启用，我禁用了 Anti-Scram 功能，它一直在打开，我尝试了组策略技巧，但 Windows Defender 选项不再存在。我还编辑了注册表项——人们可以很容易地在谷歌上找到它们——这通常起到了作用，没有。我什至从实时 USB 记忆棒启动并重命名了 Windows Defender 文件夹，但没有用。然后我更进一步，从 Live USB 记忆棒再次启动，在“C:\Windows”下搜索“Windows Defender”并删除了我能找到的所有内容。这禁用了病毒分析和大多数其他 Windows Defender 功能，但实时保护继续工作（只是不要问我如何）。

我无法再发起黑客攻击或类似行为，因为如果我启用了我的防病毒软件，它会阻止它，如果我禁用它，Windows Defender 就会进入并阻止它。告诉它忽略该文件也无济于事。我该如何解决这个问题？我只想推出任何我想要的东西。

因此，我在我的 Windows 10 Home 机器上禁用了 Windows Defender，它在设置中的外观如下：

但是，我注意到当我在 Chrome 中下载文件时，它仍然会扫描它们。我注意到这一点是因为某些文件类型的下载在达到 100% 下载进度后需要很长时间（在某些情况下甚至是几分钟）才能真正完成，并且在此期间 MsMpEng.exe 进程正在使其中一个 CPU 核心饱和，就像您在此屏幕截图中看到的那样：

有没有办法真正禁用这些扫描？我是一名开发人员，每次下载 JAR 文件时都必须等待 3-4 分钟的额外时间，这非常令人恼火。