Windows Defender 関連のサービス
* はじめに
MSMG ToolKit で Windows Defender を削除している環境ではサービスが存在しないのでスルーしてください。
この Tips は何らかの理由で Windows Defender を削除できないけど恒久的に無効(削除)にしたい方向けの Tips です。
* 検証のため最小限のカスタマイズOSで確認してます。(Build 26100.2161)
- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = -
* Windows Defender 関連のサービス
HKLM\SYSTEM\CurrentControlSet\Services\WdBoot
HKLM\SYSTEM\CurrentControlSet\Services\WdFilter
HKLM\SYSTEM\CurrentControlSet\Services\WdNisSvc
HKLM\SYSTEM\CurrentControlSet\Services\WdNisSvc
HKLM\SYSTEM\CurrentControlSet\Services\WinDefend
検索すると海外で
HKLM\System\CurrentControlSet\Services\MDCoreSvc
というのもあるけど、26100.2161 では確認できなかった。(Defenderを起動すると追加されるのか?)
HKLM\SYSTEM\CurrentControlSet\Services\Sense をいじっているところもあるけど、これは必要あるかなぁ???
スタートアップの種類は、
WdBoot = ブートスタート
WdFilter = ブートスタート
WdNisSvc = 手動
WdNisSvc = 手動
WinDefend = 自動
( System Informer で確認)
* "Start"=dword:00000000 は、ブートスタートです
- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = -
* 削除するために試したこと。
手っ取り早くシステム権限(拡張コマンド)でコマンドプロンプトを起動し、sc delete してみたが駄目だった。(アクセス拒否)
なんか、嫌な予感・・・
とりあえず次にレジストリエディタをシステム権限で実行し、所有者の変更を試したけどこれもアクセス拒否された。
システム権限(TI権限)で駄目だとなると残る手段は外部からハイブを編集するしかない。
・ デュアル(マルチ)ブート環境なら、他のOSからハイブを読み込んで削除。
・ デュアルブート環境がない場合は、ブータブルUSB からハイブを読み込んで削除。
* 読み込むハイブは "C:\Windows\System32\config\SYSTEM"
- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = -
* 削除はできたけど・・・
経時変化の確認はできていないので何とも言えないけど、たぶんこのままだと復活しそうな気がする。
復活させないためには、一度 DoSvc , WaaSMedicSvc キーを削除して、再度 DoSvc , WaaSMedicSvc の空キーを作成しプリンシパル全削除をしといた方がよさそうな気がする・・・んだけど、これらはアップデートに関わってくるのでアップデートを利用している人にはお勧めしません。
