◉ Управление Windows Defender

Полное отключение Защитника без нарушения целостности системы

Проверено на Windows 11 Enterprise IoT 25H2 (сборка 26200.x).

1 Полное отключение Windows Defender
▶ Обычный режим  Шаг 1.0 — Обязательно первым
Отключить Tamper Protection (Защита от несанкционированного доступа)
Это обязательный нулевой шаг. Tamper Protection блокирует изменения задач планировщика и ключей реестра EPP даже для Администратора — команды шагов 1.1 и 1.4 выполнятся без ошибок, но изменения не закрепятся или будут молча отменены.
Отключается только через GUI — через реестр или политику это сделать нельзя при включённой защите.
  1. Открыть Параметры (Win + I) → Конфиденциальность и безопасностьБезопасность WindowsЗащита от вирусов и угроз
  2. Прокрутить до раздела «Параметры защиты от вирусов и угроз» → нажать «Управление параметрами»
  3. Найти переключатель «Защита от несанкционированного доступа» → перевести в положение Откл. → подтвердить в UAC-запросе
▶ Обычный режим  Шаг 1.1
Отключить задачи планировщика, уведомления и SmartScreen
Открыть PowerShell от Администратора (Win + X → Терминал (Администратор)) и выполнить блок целиком.
Перезагрузка не нужна — изменения вступают в силу сразу.
Заодно запомни заводское значение WdNisDrv — оно понадобится при откате: sc qc WdNisDrv → смотри строку START_TYPE. На большинстве сборок это 2 (AUTO_START), на некоторых редакциях — 3 (DEMAND_START).
PowerShell (Администратор)
# Отключить задачи планировщика Defender
Disable-ScheduledTask -TaskPath "\Microsoft\Windows\Windows Defender\" -TaskName "Windows Defender Cache Maintenance"
Disable-ScheduledTask -TaskPath "\Microsoft\Windows\Windows Defender\" -TaskName "Windows Defender Cleanup"
Disable-ScheduledTask -TaskPath "\Microsoft\Windows\Windows Defender\" -TaskName "Windows Defender Scheduled Scan"
Disable-ScheduledTask -TaskPath "\Microsoft\Windows\Windows Defender\" -TaskName "Windows Defender Verification"

# Отключить тост «Включить службу безопасности» (AccountHealth)
Disable-ScheduledTask -TaskPath "\Microsoft\Windows\AccountHealth\" -TaskName "RecoverabilityToastTask"

# Отключить уведомления «Включить службу центра безопасности» из трея
reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v AntiVirusDisableNotify /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v AntiVirusOverride       /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance" /v Enabled /t REG_DWORD /d 0 /f

# Отключить SmartScreen
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System"                     /v EnableSmartScreen         /t REG_DWORD /d 0   /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer"               /v SmartScreenEnabled        /t REG_SZ    /d Off /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\AppHost"                /v EnableWebContentEvaluation /t REG_DWORD /d 0   /f
▶ Обычный режим  Шаг 1.2
Убрать SecurityHealth из автозапуска и уйти в Safe Mode
В том же PowerShell от Администратора выполнить блок.
После выполнения система перезагрузится в безопасный режим — продолжение в шаге 1.3.
Почему Safe Mode? Tamper Protection блокирует изменения ключей реестра служб Defender даже для Администратора в обычном режиме. В безопасном режиме эта защита не загружается. Задачи планировщика, уведомления и SmartScreen Tamper Protection не защищает — они отключаются в обычном режиме (шаг 1.1). EPP контекстного меню тоже не защищается Tamper Protection, однако удаляется в шаге 1.4 вместе со службами, так как логически относится к той же группе.
PowerShell (Администратор)
# Убрать иконку Security Center из автозагрузки
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" `
                    -Name "SecurityHealth" `
                    -ErrorAction SilentlyContinue

# Включить безопасный режим и перезагрузиться

bcdedit /set '{current}' safeboot minimal
Restart-Computer
⚠ Безопасный режим ✎ regedit  Шаг 1.3 — Начать отсюда
Выдать права на защищённые ключи реестра (wscsvc и Sense)
Ключи реестра служб wscsvc и Sense защищены от записи даже для Администратора — без прав команды в шаге 1.4 вернут «Отказано в доступе».
Сначала выдаём права на оба ключа за один заход, потом переходим к cmd.
Открыть regedit: Win + R → regedit → Enter. Для каждого из двух ключей ниже выполнить одинаковую процедуру:
Пути в regedit — выдать права на оба
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sense
Процедура для каждого ключа:
  1. Правая кнопка на папке → РазрешенияДополнительно
  2. Напротив «Владелец: СИСТЕМА» нажать Изменить → ввести Администраторы → Проверить имена → ОК
  3. Поставить галку «Заменить владельца субконтейнеров и объектов» → Применить
  4. В списке разрешений выбрать строку АдминистраторыИзменить → поставить тип Разрешить и галку Полный доступ → Применить → ОК
После выдачи прав на оба ключа — переходить к шагу 1.4.
⚠ Безопасный режим  Шаг 1.4
Отключить службы Defender и wscsvc через реестр
Открыть cmd.exe от Администратора (Win + R → cmd → Ctrl + Shift + Enter) и выполнить блок целиком.
Значение 4 = режим «Отключено». Служба не запускается при старте системы.
Про WdBoot: boot-start драйвер (тип 0). Мы выставляем Start=4, но при включённом Secure Boot + TPM ELAM-валидация может вернуть его к 0. Если после перезагрузки видишь Start=0 вместо 4 — это норма: Defender всё равно не запустится, пока отключён WinDefend.
cmd.exe (Администратор) — Безопасный режим
:: [1/6] Отключить службы и драйверы ядра Defender
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WinDefend"  /v Start /t REG_DWORD /d 4 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WdFilter"  /v Start /t REG_DWORD /d 4 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WdBoot"   /v Start /t REG_DWORD /d 4 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WdNisSvc" /v Start /t REG_DWORD /d 4 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WdNisDrv" /v Start /t REG_DWORD /d 4 /f

:: [2/6] Отключить дополнительные службы (актуально для Windows 11 25H2)
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Sense"               /v Start /t REG_DWORD /d 4 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\webthreatdefsvc"       /v Start /t REG_DWORD /d 4 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\webthreatdefusersvc"   /v Start /t REG_DWORD /d 4 /f

:: [3/6] Убрать щит Security Center из трея
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Systray" /v HideSystray /t REG_DWORD /d 1 /f

:: [4/6] Заглушить Health Center
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\HealthCenter" /v DisableHealthCenter /t REG_DWORD /d 1 /f

:: [5/6] Убрать EPP из контекстного меню проводника
reg delete "HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\EPP"                  /f 2>nul
reg delete "HKLM\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\EPP"              /f 2>nul
reg delete "HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EPP"          /f 2>nul
reg delete "HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\EPP" /f 2>nul
reg delete "HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\EPP"             /f 2>nul

:: [6/6] Заблокировать запуск smartscreen.exe (процесс висит в диспетчере задач даже при отключённом SmartScreen)
takeown /f "%SystemRoot%\System32\smartscreen.exe" /a
icacls "%SystemRoot%\System32\smartscreen.exe" /deny *S-1-5-32-545:(X)

:: [7/7] Отключить wscsvc
reg add "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /t REG_DWORD /d 4 /f
После выполнения блока — выйти из Safe Mode:
cmd.exe (Администратор) — Безопасный режим
bcdedit /deletevalue {current} safeboot
shutdown /r /t 0
▶ Обычный режим  Проверка результата
Убедиться что всё отключено
Выполнить каждый блок по отдельности в PowerShell от Администратора. Ожидаемые значения указаны в комментариях.
Шаг 1.1 — Задачи планировщика, уведомления, SmartScreen, автозапуск; Шаг 1.4 — EPP
PowerShell (Администратор)
# Задачи планировщика — все пять должны быть State: Disabled
Get-ScheduledTask -TaskPath "\Microsoft\Windows\Windows Defender\" | Select-Object TaskName, State
Get-ScheduledTask -TaskPath "\Microsoft\Windows\AccountHealth\" -TaskName "RecoverabilityToastTask" | Select-Object TaskName, State

# EPP в контекстном меню — все пять команд должны вернуть "ERROR: The system was unable to find..."
reg query "HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\EPP"
reg query "HKLM\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\EPP"
reg query "HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EPP"
reg query "HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\EPP"
reg query "HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\EPP"

# Уведомления Security Center — AntiVirusDisableNotify и AntiVirusOverride должны быть 0x1
reg query "HKLM\SOFTWARE\Microsoft\Security Center" /v AntiVirusDisableNotify
reg query "HKLM\SOFTWARE\Microsoft\Security Center" /v AntiVirusOverride

# Тост SecurityAndMaintenance — Enabled должен быть 0x0
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance" /v Enabled

# SmartScreen — EnableSmartScreen должен быть 0x0, SmartScreenEnabled должен быть "Off", EnableWebContentEvaluation должен быть 0x0
reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" /v EnableSmartScreen
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" /v SmartScreenEnabled
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\AppHost" /v EnableWebContentEvaluation

# smartscreen.exe — deny-ACL на Users должен присутствовать
icacls "%SystemRoot%\System32\smartscreen.exe"

# Автозапуск SecurityHealth — ключ НЕ должен существовать (ошибка = норма)
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SecurityHealth
Шаги 1.3 и 1.4 — Службы
PowerShell (Администратор)
# Службы — все должны быть Status: Stopped, StartType: Disabled
Get-Service WinDefend, WdFilter, WdNisSvc, WdNisDrv, Sense, webthreatdefsvc, webthreatdefusersvc, wscsvc |
  Select-Object Name, Status, StartType

# Трей Security Center — HideSystray должен быть 0x1
reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Systray" /v HideSystray

# Health Center — DisableHealthCenter должен быть 0x1
reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\HealthCenter" /v DisableHealthCenter
Крупные обновления Windows (Feature Update) могут вернуть службы Defender в исходное состояние. После такого обновления рекомендуется запустить проверку из раздела «Проверка результата» и при необходимости повторить шаги 1.3–1.4.
Обычные накопительные обновления (Cumulative Update) службы не затрагивают.
2 Восстановление Windows Defender (полный откат)
▶ Обычный режим  Шаг 2.1
Включить задачи планировщика, вернуть уведомления, EPP и автозапуск SecurityHealth
Открыть cmd.exe от Администратора и выполнить блок. Перезагрузка не нужна.
cmd.exe (Администратор)
:: Включить задачи планировщика Defender обратно
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance" /Enable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cleanup"           /Enable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan"    /Enable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Verification"      /Enable
schtasks /Change /TN "Microsoft\Windows\AccountHealth\RecoverabilityToastTask"               /Enable

:: Вернуть уведомления Security Center
reg delete "HKLM\SOFTWARE\Microsoft\Security Center" /v AntiVirusDisableNotify /f 2>nul
reg delete "HKLM\SOFTWARE\Microsoft\Security Center" /v AntiVirusOverride       /f 2>nul
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance" /v Enabled /f 2>nul
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows\System"           /v EnableSmartScreen         /f 2>nul
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer"   /v SmartScreenEnabled        /f 2>nul
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\AppHost"    /v EnableWebContentEvaluation /f 2>nul

:: Вернуть права на smartscreen.exe
takeown /f "%SystemRoot%\System32\smartscreen.exe" /a
icacls "%SystemRoot%\System32\smartscreen.exe" /remove:d *S-1-5-32-545

:: Вернуть EPP в контекстное меню проводника
:: CLSID {09A47860-11B0-4DA5-AFA5-26D86198A780} = ShellExtension модуля MpShe.dll
reg add "HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\EPP"                  /ve /d "{09A47860-11B0-4DA5-AFA5-26D86198A780}" /f
reg add "HKLM\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\EPP"              /ve /d "{09A47860-11B0-4DA5-AFA5-26D86198A780}" /f
reg add "HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EPP"          /ve /d "{09A47860-11B0-4DA5-AFA5-26D86198A780}" /f
reg add "HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\EPP" /ve /d "{09A47860-11B0-4DA5-AFA5-26D86198A780}" /f
reg add "HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\EPP"             /ve /d "{09A47860-11B0-4DA5-AFA5-26D86198A780}" /f

:: Вернуть иконку Security Center в автозапуск
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SecurityHealth /t REG_EXPAND_SZ /d "%windir%\System32\SecurityHealthSystray.exe" /f
▶ Обычный режим  Шаг 2.2
Уйти в Safe Mode
В том же cmd.exe от Администратора выполнить блок. После выполнения система перезагрузится в безопасный режим — продолжение в шаге 2.3.
cmd.exe (Администратор)
bcdedit /set {current} safeboot minimal
shutdown /r /t 0
⚠ Безопасный режим  Шаг 2.3
Восстановить службы через реестр
Открыть cmd.exe от Администратора в Safe Mode и выполнить блок.
Не перезагружаться — сначала восстановить владельца wscsvc и Sense через regedit (ниже), и только потом вводить команды выхода.
Заводские значения: WinDefend = 2 (auto), WdFilter = 2 (auto), WdBoot = 0 (boot-start), WdNisSvc = 3 (manual), WdNisDrv = 2 (auto на большинстве сборок; подставь своё если отличается — ты проверял в шаге 1.1).
Про WdBoot: заводское значение — Start=0 (boot-start). При включённом Secure Boot + TPM ELAM-валидация может сбросить его обратно к 0 даже если вручную выставить иначе — это норма, на работу системы не влияет.
cmd.exe (Администратор) — Безопасный режим
:: [1/3] Восстановить заводские параметры всех служб Defender
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WinDefend"           /v Start /t REG_DWORD /d 2 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WdFilter"           /v Start /t REG_DWORD /d 2 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WdBoot"            /v Start /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WdNisSvc"          /v Start /t REG_DWORD /d 3 /f
:: WdNisDrv: заводское значение на большинстве сборок = 2; если у вас было иначе — подставьте своё (проверить заранее: sc qc WdNisDrv)
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WdNisDrv"          /v Start /t REG_DWORD /d 2 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Sense"              /v Start /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\webthreatdefsvc"    /v Start /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\webthreatdefusersvc" /v Start /t REG_DWORD /d 2 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc"             /v Start /t REG_DWORD /d 2 /f

:: [2/3] Вернуть иконку Security Center в трей
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Systray" /v HideSystray /f 2>nul

:: [3/3] Включить Health Center обратно
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows\HealthCenter" /v DisableHealthCenter /f 2>nul
Не закрывай это окно cmd. Убедись, что все команды выше выполнены. После этого открой regedit и верни права владельца wscsvc и Sense обратно к СИСТЕМЕ (инструкция ниже) — значения Start уже выставлены командами reg add выше, regedit нужен только для возврата прав. И только после этого вводи команды выхода из Safe Mode.
Вернуть владельца через regedit — Win + R → regedit → для каждого из двух ключей выполнить одинаковую процедуру:
Пути в regedit — вернуть владельца на оба
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sense
  1. Правая кнопка на папке → Разрешения → Дополнительно → Изменить владельца на СИСТЕМА → поставить галку «Заменить владельца субконтейнеров и объектов» → Применить → ОК
  2. Закрыть окно разрешений — разрешения Администраторам дополнительно урезать не нужно, они вернутся к стандартным автоматически после смены владельца обратно на СИСТЕМА
После этого вернуться в cmd и выйти из Safe Mode:
cmd.exe (Администратор) — Безопасный режим
bcdedit /deletevalue {current} safeboot
shutdown /r /t 0
▶ Обычный режим  Шаг 2.4 — Финальный
Включить Tamper Protection обратно
Tamper Protection не возвращается автоматически при запуске служб — его нужно включить вручную через GUI, как это делалось в шаге 1.0.
  1. Открыть Параметры (Win + I) → Конфиденциальность и безопасностьБезопасность WindowsЗащита от вирусов и угроз
  2. Прокрутить до раздела «Параметры защиты от вирусов и угроз» → нажать «Управление параметрами»
  3. Найти переключатель «Защита от несанкционированного доступа» → перевести в положение Вкл. → подтвердить в UAC-запросе