飘在云端

东西南北,海角天涯

· 随笔 · · 262次浏览

win 10、11 无损禁用自带的安全中心/防火墙全家桶

更新:2023-7-6,win 11 照样收拾,屡试不爽

更新:2022-11-28 :建议使用国外大佬开发的专门关闭 Defender 全家桶的软件
支持 win7 ~ 11 x86/64

关闭 Windows 自动更新
https://www.aliyundrive.com/s/icUwY7vcAzu
提取码: 2s6l

关闭 Windows Defender 全家桶
https://www.aliyundrive.com/s/fTbKZzkj6cu
提取码: 5g8i

关闭 windows 自动维护
https://www.aliyundrive.com/s/4StNeEwpPaJ
提取码: x86q

干掉 windows 安全中心所需的提权工具 NSudo

NSudo_9.0_Preview1_9.0.2676.0.exe
https://www.aliyundrive.com/s/UHVPgwZ2EsV
提取码: rz84


测试发现,即使 system 权限,默认情况下也是无权限操作的,windwos 安全策略对于 windows 组件的系统文件,所有者是 TrustedInstaller 权限,当然,只要是管理员权限就可以改变所有者,取得所有权,接着为所欲为。
但是这个太简单粗暴了,一点都不斯文,也会破坏 windows 自带的安全体系设置,所以建议直接使用原本内置默认的TrustedInstaller这个权限来操作相关系统组件。

1.关闭 windows 安全中心,先使用 NSudo 创建一个提权的 cmd,权限是 TrustedInstaller
任意是 TrustedInstaller 权限的命令行窗口,输入下面命令并回车

sc config SecurityHealthService start= disabled

结果返回[SC] ChangeServiceConfig 成功,也就是禁用成功了,重启后永久生效。
如果是 system 用户或者管理员用户(包括内置管理员用户),执行时会报错

[SC] OpenService 失败 5:
拒绝访问。

什么?怎么这么麻烦,直接修改注册表取得相关服务的路径的所有权,再修改也是没问题的,如下操作,使用 NSudo 运行一个提权后的注册表编辑器,运行身份是 TrustedInstaller 或者 system,两者都测试一下,哪个不行就换,定位到如下路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecurityHealthService

在这个注册表路径下,注册表右侧窗口可以看到一个名为 Start的 REG_DWORD类型的注册表键值,双击它,把它的值改为4,基数选择十六进制,值为4的意思就是对应 sc 命令设置的 disable ,即禁用服务自动启动

  1. 关闭 windows firewall(比较彻底的关闭,包括后台进程服务也停止,但是内核驱动保持运行,以防万一)
    任意是 TrustedInstaller 权限的命令行窗口,输入下面命令并回车

    sc config mpssvc start= disabled

结果返回 [SC] ChangeServiceConfig 成功,重启计算机就永久禁用了

或者任意管理员权限打开注册表,定位到如下注册表路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mpssvc

参照上面,依葫芦画瓢,注册表右侧窗口可以看到一个名为 Start的 REG_DWORD类型的注册表键值,双击它,把它的值改为4,基数选择十六进制,值为 4 的意思就是对应sc命令设置的disable,即禁用服务自动启动

  1. 收拾 windows 自带烦人难用的 windows defender
    参照上面,注册表或命令行对它的服务进行下手即可,组策略,家庭版什么都去见鬼吧,支持win10全系列!直接修改底层数据就ok了。

下面是收集的一些全家桶服务组件的服务名:

Sense   官方服务描述:Windows Defender 高级威胁防护服务通过监视和报告计算机上发生的安全事件来防范高级威胁。
WdNisSvc  官方服务描述:帮助防止针对网络协议中的已知和新发现的漏洞发起的入侵企图。
WinDefend  官方服务描述:帮助用户防止恶意软件及其他潜在的垃圾软件。
……省略若干……

怎么获得你想要的服务名呢?任意权限运行 services.msc,就可以打开系统自带的GUI界面,管理服务的控制台,在名称 那一列可以看到有很多服务的显示名称,这个不是我们要找的,这里的名称显示名称的简写,相当于一个便于理解记忆的绰号,我们需要找的是服务名称,双击任意一个服务,可以在弹出的详情页看到它的服务名称,这个服务名称就是sc命令操作时需要的服务名称,也是注册表路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下面显示的项目,根据自己的需要酌情修改禁用服务即可

还有服务没彻底显示,例如内核驱动,可以在任意权限的命令行窗口输入 sc query type=all 来查询完整的服务列表,包含所有服务类型:driver, service, userservice,services.msc 只显示 service 类型的服务,对于 driver 和 userservice 显示不完全或者不显示。

提示:对于内核驱动类型的服务,请不要瞎改,不理解该服务作用就全部忽略,不作死就不会死

相关工具,用于取得任意想要用户权限的shell工具,NSudo,github上面的开源项目:
该工具的作者 GitHub 项目地址: https:github.com/M2Team/NSudo
NSudo 搬运到了网盘一份,见文章开头

评论 (1条)
  1. savagemai

    博主您好!新装的win11系统,想关闭防火墙,以安装时候所设置的用户名 登录到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc想把右边的Start改为4,提示没有权限。请问该怎么用完全开启注册表权限呢谢谢!

    回复