收拾一些微软自带的默认安全措施全家桶,一撸到底,给我爬
其实这部分内容在以前文章零零散散有所体现,这次聚合一下,搞个大的
先画大饼,有空再更新文章
真神降临: windows-defender-remover
- 移除 Windows 安全中心、Windows Defender 全家桶、基于 Windows 虚拟化的安全性 (VBS)、Windows SmartScreen、Windows 安全服务、Windows Web 威胁服务、Windows 文件虚拟化 (UAC)、Microsoft Defender App Guard、Microsoft 驱动程序阻止列表、禁用 Spectre(幽灵) 和 Meltdown(熔断) 缓解措施(KB4073757 补丁,CPU 微码补丁,通过推测执行实现缓存侧信道攻击,该补丁将影响CPU性能)
关于 VBS 补充说明,真正的仅关闭 VBS 基于虚拟化的安全性,而不影响 Hyper 虚拟化/vt,支持 24h2,支持重启不复发(如果关闭后自己主动打开 hyper,会自动打开 VBS,这个不是复发,是预期行为,需要自己再次手动关闭)
还工具额外处理了
关闭 内核隔离,Windwos 安全中心页面 → 设备安全 → 内核隔离
内存完整性
关闭 核心隔离,Windwos 安全中心页面 → 设备安全 → 核心隔离
- 内核模式硬件强制实施堆栈保护
- 内存访问保护
- 数据执行保护(DEP)
- 强制图像随机化(强制 ASLR)
- 随机内存分配(由下而上 ASLR)
- 控制流保护 (CFG)
- 验证异常链(SEHOP)
- 验证堆完整性
- 任意代码防护(ACG)
- 代码完整性防护
- 验证映像依赖项完整性
- 验证堆栈完整性(StackPivot)
- 导入地址筛选(IAF)
- ……
- https://www.alipan.com/s/fTbKZzkj6cu
提取码 5g8i
使用方法,在此之前你需要主动关闭 Windows Defender 实时保护和反篡改保护,并加白名单,该软件在 GitHub 完全开源,代码可审计,拥有 4K 的 star,放心加白名单,没有病毒和后门,右键以管理员身份运行该软件,输入 Y,并回车,表示全部移除,1-2分钟之后,系统会自动重启,一切搞定
该工具没有主动关闭 DEP 数据执行保护,因为一些游戏反作弊程序的兼容问题,我们手动关闭就好
bcdedit /set {current} nx AlwaysOff
其他根据需要自行处理的
关闭 防火墙
- 域网络
- 专用网络
- 公用网络
- 关闭 Windows 自动维护
https://www.alipan.com/s/4StNeEwpPaJ
提取码 x86q - 关闭 Windows 自动更新
-https://www.alipan.com/s/icUwY7vcAzu
提取码 2s6l
- 移除 Microsoft Edge (可选仅屏蔽入口/完全移除/一起移除 WebView2 运行库)
https://www.alipan.com/s/wkTYC2QeUf6
提取码 f0l2 - 临时禁用驱动强制签名(DSE),一定有效,能直接运行未签名驱动
按住 Shift + 点击重启,Windows 将重新启动并显示 高级启动 选项,启动设置>重新启动>高级选项 中选择 疑难解答,重新启动后,你将看到启动设置列表。按 F7 或相应的键选择 “禁用驱动程序强制签名”。
或者使用这个方法,但是可能需要测试签名,无签名无法运行
bcdedit /set nointegritychecks off
bcdedit.exe -set loadoptions DENABLE_INTEGRITY_CHECKS
bcdedit.exe /set testsigning off
重启生效
- 进阶【彻底永久处理】,使用 EfiGuard 处理 PatchGuard 和 DSE
https://www.alipan.com/s/qtkr8KDhbXR
提取码 34bv
鸣谢:
https://learn.microsoft.com/zh-cn/defender-endpoint/customize-exploit-protection
https://github.com/ionuttbara/windows-defender-remover
https://github.com/ShadowWhisperer/Remove-MS-Edge
https://www.sordum.org/9470/windows-update-blocker-v1-8
https://github.com/Mattiwatti/EfiGuard