一、关闭Windows Defender的脚本方案
方案1:组策略+注册表法(推荐官方方案)
:: disable-windows-defender.bat
@echo off
:: 通过组策略关闭
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d 1 /f
:: 禁用实时监控
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d 1 /f
:: 更新组策略
gpupdate /force
:: 重启生效
shutdown /r /t 0
原理:
- 注册表键
DisableAntiSpyware=1彻底禁用Defender DisableRealtimeMonitoring=1关闭实时防护- 需管理员权限运行,重启后生效
方案2:PowerShell命令法(临时关闭)
# disable-defender.ps1
Set-ExecutionPolicy Bypass -Scope Process -Force
Set-MpPreference -DisableRealtimeMonitoring $true
Add-MpPreference -ExclusionPath "C:\" # 添加路径排除(可选)
Stop-Service WinDefend -ErrorAction SilentlyContinue
注意:
- 仅临时关闭实时监控,Defender可能自动恢复
- 需先关闭篡改保护(Tamper Protection)否则失败
- 适用于Win10/11
方案3:第三方工具(一键操作)
- Defender Control工具:
- 下载地址(提取码 w1fs)
- 双击直接关闭/开启,支持Win10/11
- 风险提示:第三方工具可能被误报病毒
二、验证关闭状态的方法
-
图形界面验证:
- 打开「安全中心」→「病毒和威胁防护」
- 若显示 “无可用的防病毒提供方” 或 “实时保护已关闭” 则成功
-
PowerShell命令验证:
Get-MpPreference | Select DisableRealtimeMonitoring # 返回 True 表示已关闭 [[5,12,16]] -
进程检查:
- 任务管理器 → 查看 Antimalware Service Executable 进程是否消失
- 若进程仍在,说明关闭不彻底
-
注册表确认:
- 检查
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender - 确认
DisableAntiSpyware值为 1
- 检查
三、关键风险与注意事项
-
安全风险:
- 关闭Defender后系统易受攻击,需安装替代杀毒软件
- 强调:黑客可能利用此漏洞入侵
-
兼容性问题:
- 关闭后可能影响Windows更新和Office激活
- 部分脚本会连带禁用OneDrive,导致备份失效
-
操作建议:
- 优先使用组策略/注册表法(方案1),稳定性最高
- 临时调试可用PowerShell方案(方案2),但需手动维持
- 第三方工具仅作备用,存在未知风险
结论:生产环境推荐使用方案1的批处理脚本,配合注册表验证确保彻底关闭。长期使用需评估安全风险,不建议在无替代防护的情况下禁用Defender。