윈 도 우 윈도우11 22H2에서 MS Defender를 끄는 방법이나 프로그램
2022.11.21 12:14
지금까지 윈도우10을 사용하다가 지난주에 윈도우11 22H2를 클린 설치했습니다.
윈도우10일 때와 달라진 점들에 적응하려고 노력하고 있죠.
그런데, 한 가지 중요하게 불편한 사항이 있는데 아직 해결 방법을 찾지 못해 고수분들의 도움을 구합니다.
윈도우10에서는 MS 디펜더의 작동을 아예 끄는 방법이 여러 가지 있었습니다.
그 중, 저는 레지스트리를 변경해서 MS 디펜더를 아예 꺼 버리고 대신에 3rd Party Antivirus 프로그램을 사용했었죠.
요즘엔 디펜더의 성능도 매우 좋아져서 굳이 이걸 아예 끄고 다른 프로그램을 사용할 필요가 없다는 건 저도 압니다.
다만, 저의 경우 한 드라이브에서 다른 드라이브로 대용량의 파일들을 복사 또는 이동하는 작업을 자주 하는 편인데요.
알만한 분들은 아시다시피, 안티 바이러스 프로그램이 실행되어 있는 상태에서 대용량과 많은 수의 파일을 복사 또는 이동하는 작업을 하면 안티 바이러스 프로그램이 리소스를 과도하게 잡아 먹어 실행되어 있지 않은 상태보다 작업 시간이 확연하게 차이가 날 정도로 오래 걸립니다.
그래서, 이럴 때는 임시로 안티 바이러스 프로그램을 꺼 놓고 작업하는 게 시간상, 정신 건강상으로 편하죠.
윈도우10을 사용하면서 제가 디펜더를 아예 끄고 3rd Party 안티 바이러스 프로그램을 사용한 건 바로 이런 이유때문이었습니다.
여타 3rd Party 프로그램은 임시로 프로그램의 실행을 종료할 수 있는 반면, 디펜더는 그럴 수가 없다는 문제가 있었기 때문입니다.
그런데, 윈도우11에서는 윈도우10에선 먹히던 디펜더를 아예 끄는 레지스트리가 적용이 안되더군요.
그래서, 고수분들의 도움을 구합니다.
제 질문은 이렇습니다.
윈도우11에서 디펜더를 아예 끄는 방법이 있을까요?
윈도우10에서 제가 사용한 것처럼 레지스트리를 변경하는 것도 좋고, 다른 제작자가 만든 프로그램이 있다면 그것도 좋습니다.
혹시 그게 안된다면 디펜더를 임시로 끄는 방법이 있다면 좋겠습니다.
잘 아시는 분들의 고견을 부탁 드리겠습니다.
댓글 [11]
-
회오리BOi 2022.11.21 12:22
-
feynman 2022.11.21 21:59
프로그램 이름이 왠지 낯설지 않아 왜 그런가 했더니 예전에 윈도우 OS 통합본 올려 주시기로 유명한 홍차의꿈님 블로그에서 본 적이 있는 유틸이네요.
좋은 정보 고맙습니다.
아래 zerojiddu님이 가르쳐 주신 방법으로 해 보다가 혹시라도 안되면 이걸로도 해 봐야 겠습니다.
-
꽁샤샤 2022.11.21 15:32
그냥 윈도우10에서와같이 다끄면 되는거 아니예요?? 전 그냥 다 다 안함을 바꿔 놓았는데요ㅠㅠ
-
내꼬 2022.11.21 16:21 꼬이면 윈도우 업데이트 오류및 설치 불가 될 수 있어요
끄지 마시고 서드파티 제품 설치 하세요.
-
zerojiddu 2022.11.21 17:49 전 win11 22H2 윈도우 디펜더가 완전히 꺼져 있습니다.
파워쉘에서 get-mpComputerStatus 치면 디펜더 상태가 나오는데요.
저렇게 디펜더 모든 서비스가 not running, false, false로 바꼈어요.
다 끌려면,
1. 윈도우 시큐리티 디펜더 설정창에서
Tamper Protection(한글판 디펜더 설정창에는 "조작방지" 비슷한 말로 돼 있을겁니다.) 끄시고
파워쉘[관리자]에서 이걸 복사해 치세요.
Set-MpPreference -DisableArchiveScanning $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -DisableIntrusionPreventionSystem $true
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -DisableRemovableDriveScanning $true
Set-MpPreference -DisableBlockAtFirstSeen $true
Set-MpPreference -DisableScanningMappedNetworkDrivesForFullScan $true
Set-MpPreference -DisableScanningNetworkFiles $true
Set-MpPreference -DisableScriptScanning $true
Set-MpPreference -DisableRealtimeMonitoring $true2, 윈도를 안전모드로 부팅하세요.
재부팅후 안전모드에 자동으로 들어가려면,
드라이브 BitLocker를 끈후(안끄도 상관없지만, bitlocker 비번을 꼭 넣어야 되서요.)
파워쉘에서 이걸 치면 됩니다.
bcdedit /set "{current}" safeboot minimal
shutdown -t 0 -r
3. 안전모드 진입후, 파워쉘을 열고
디펜드의 자동시작하는 서비스 레지스트리 키 권한을 Administrators로, 그리고 모든권한으로 바꾸세요.
디펜드의 7가지 서비스 (WinDefend, Sense, WdFilter, WdNisDrv, WdNisSvc, WdBoot, SecurityHealthService) 레지권한을 바꿀건데 밑의 코드에서
WinDefend 부분만 위 7가지 서비스 이름으로 차례로 바꾸고, 전체 코드를 복사해 치면 됩니다.
$regKey = [Microsoft.Win32.Registry]::LocalMachine.OpenSubKey("SYSTEM\CurrentControlSet\Services\WinDefend",[Microsoft.Win32.RegistryKeyPermissionCheck]::ReadWriteSubTree,[System.Security.AccessControl.RegistryRights]::ChangePermissions)
$regACL = $regKey.GetAccessControl()
$regRule = New-Object System.Security.AccessControl.RegistryAccessRule ("Administrators","FullControl","ContainerInherit,ObjectInherit","None","Allow")
$regACL.SetAccessRule($regRule)
$regKey.SetAccessControl($regACL)4. 그리고 디펜더 7가지 서비스 시작유형을
Disabled( 4 ) 로 바꿔주면 윈도 부팅해도 더이상 실행이 안되고
디펜더는 완전 죽어버립니다.
$regpath='HKLM:\SYSTEM\CurrentControlSet\Services'
Set-ItemProperty -Path ($regpath+"\WinDefend") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\Sense") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\WdFilter") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\WdNisDrv") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\WdNisSvc") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\Wdboot") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\SecurityHealthService") -Name Start -Value 4* 위 작업이 끝난후, 안전모드 자동진입 설정을 제거하고
재부팅하면 됩니다.
bcdedit /deletevalue "{current}" safeboot
shutdown -t 0 -r
정상 윈도 부팅후 디펜더 서비스 실행을 확인해 보면 모두 죽어 있습니다.
Sense 서비스 이름을 못찾는다는 에러메시지는 제컴에는 이전에 벌써 Sense 서비스를 삭제 또는
Disabled 시켜서 그런거라 무시하셔도 됩니다.
*다시 디펜더를 원 상태로 돌리려면.... 제글을 이해했으면 가능합니다.
-
feynman 2022.11.21 19:07
와~~~! 대단하시네요.
저도 그 사이에 구글링을 좀 해보니 안전모드 부팅해서 윈도우 서비스와 디펜더 폴더의 접근 권한을 변경해야 한다는 내용의 글을 봤는데 컴알못이라 이해하고 따라가기 어렵던데 그러한 내용을 파워쉘 명령 하나로 만드셨군요.
고맙습니다. 여전히 이해하기 어렵지만 그대로 따라가 보겠습니다.
그리고,
디펜더를 원상태로 돌리는 건 제가 워낙 컴알못이라 글을 읽어도 이해를 하지 못해서 모르겠습니다.
정말로 염치없지만 디펜더를 원상태로 돌리는 것까지 설명을 부탁드려도 될런지요?ㅠㅠ
-
zerojiddu 2022.11.21 19:50 원상태로 돌리려면,
1. 다시 안전모드로 들어가서
디펜더 서비스들(7가지) 시작유형을 원상태로 돌려주면 됩니다.
안전 모드에 들어가기전(디펜더 서비스 죽이기전),
밑의 코드를 치면 현재 레지스트리에 설정된 디펜더 서비스 이름과 시작유형 숫자가 표시됩니다.
이걸 기억해 뒀다가,
(0=boot, 1=system, 2=automatic, 3=manual, 4=disabled)
$regpath='HKLM:\SYSTEM\CurrentControlSet\Services';
Get-ItemProperty -Path ($regpath+"\WinDefend") | Select PSChildName, Start
Get-ItemProperty -Path ($regpath+"\Sense") | Select PSChildName, Start
Get-ItemProperty -Path ($regpath+"\WdFilter") | Select PSChildName, Start
Get-ItemProperty -Path ($regpath+"\WdNisDrv") | Select PSChildName, Start
Get-ItemProperty -Path ($regpath+"\WdNisSvc") | Select PSChildName, Start
Get-ItemProperty -Path ($regpath+"\Wdboot") | Select PSChildName, Start
Get-ItemProperty -Path ($regpath+"\SecurityHealthService") | Select PSChildName, Start2. 안전모드에서 디펜더 죽일때 썼던 밑의 코드 숫자 4 부분만,
원래 기본값 숫자로 바꿔주고 엔터치면 됩니다.
$regpath='HKLM:\SYSTEM\CurrentControlSet\Services'
Set-ItemProperty -Path ($regpath+"\WinDefend") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\Sense") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\WdFilter") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\WdNisDrv") -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\WdNisSvc”) -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\Wdboot”) -Name Start -Value 4
Set-ItemProperty -Path ($regpath+"\SecurityHealthService”) -Name Start -Value 43. 그리고 정상부팅된 윈도우에서
파워쉘[관리자] 열고 디펜더 죽일때 썼던 코드 끝부분을 $false 로 다 바꾼후
그대로 쳐주면 됩니다.
Set-MpPreference -DisableArchiveScanning $false
Set-MpPreference -DisableBehaviorMonitoring $false
Set-MpPreference -DisableIntrusionPreventionSystem $false
Set-MpPreference -DisableIOAVProtection $false
Set-MpPreference -DisableRemovableDriveScanning $false
Set-MpPreference -DisableBlockAtFirstSeen $false
Set-MpPreference -DisableScanningMappedNetworkDrivesForFullScan $false
Set-MpPreference -DisableScanningNetworkFiles $false
Set-MpPreference -DisableScriptScanning $false
Set-MpPreference -DisableRealtimeMonitoring $false* 참고로 BitLocker 를 껏다 켜면 새로운 비번이 자동 할당돼서
껏다 켤때마다 만일을 위해 BitLocker 비번을 백업해 두세요.
밑의 명령어를 치면, 비번이 현재폴더에 현재날짜로 저장됩니다.
manage-bde -protectors c: -get > BitLocker-Passwords-$(get-date -f MM-yy-dd).txt
-
feynman 2022.11.21 21:49
서비스 시작유형을 "Disabled"로 바꾸는 7개의 윈도우 서비스들 중 다른 것들은 안전 모드로 부팅해서 알려 주신 파워쉘 명령으로 레지스트리 권한 변경이 문제없이 정상적으로 되는데, 마지막에 추가하신
SecurityHealthService
는 다음의 에러 메시지를 내면서 권한이 변경되질 않네요.
"요청한 레지스트리에 엑세스할 수 없습니다"
권한이 변경되지 않으니까 시작유형 레지스트리 값도 변경되지 않구요.
SecurityHealthService의 시작유형을 변경하는 파워쉘 명령을 실행시키니까 위와 동일한 에러 메시지를 내면서 변경되지 않습니다.
다만,
다시 정상모드로 부팅해서 들어와 보니 디펜더가 모두 꺼진 것 같아 보입니다.
알려주신 Get-MpComputerStatus 파워쉘 명령으로 보니
zerojiddu님과 마찬가지의 결과인 걸로 보입니다만...
아닐까요?
-
zerojiddu 2022.11.22 04:48 securityhealthservice는 첫 댓글 쓸때 저도 까먹고 중지를 안 시켰다
뒤늦게 저도 안전모드에 다시 들어가 그것만 따로 권한과 시작유형 바꾸니
에러없이 전 변경이 됐습니다.
첫댓글 마지막 사진에도 securityhealthsevice가 정상적으로 stopped 됐다고 표시돼 있어요.
securityhealthservice가 실행되면 디펜더가 꺼졌다 알림창이 뜰뿐나머지 서비스가 다 죽었으면 실제 디펜더는 완전 정지로 보여요.
작업관리자에도 전혀 나타나지 않구요.
왜 그것만 권한변경이 안되는지는 현재 저도 모르겠어요. -
feynman 2022.11.22 21:44
피드백이 늦었습니다.
zerojiddu님처럼 저도 다시 안전모드로 부팅해서 관리자 권한으로 실행한 파워쉘에서
SecurityHealthService만 권한을 변경하는 명령을 다시 한번 실행해 봤습니다만,
결과는 어제 말씀 드린 그대롭니다.
"요청한 레지스트리에 엑세스할 수 없습니다"란 에러가 나옵니다.
그리고,
SecurityHealthService는 default가 manual인데, 디펜더 관련 다른 서비스들이 모두 꺼지니까
SecurityHealthService도 여전히 꺼진 상태로 나타나는 것 같습니다.
저도 이 서비스의 상태를 보면 꺼진 걸로 나옵니다.
-
zerojiddu 2022.11.23 04:53 네, 시작유형이 Manual 이면 Stopped 으로 나올수 있는데,
get-service 'SecurityHealthService' | select Name,StartType
전 시작유형도 분명히 Disabled(4)로 바껴있고, 모든 디펜더 서비스가 죽어있습니다.
SecurityHealthService 만 살아있고 나머지가 모두 죽어있으면,
디펜더 기능이 꺼졌다는 알림만 뜰뿐
get-mpComputerStatus에서 알수 있듯이
실제 디펜더 모든기능은 죽어 있던건 저도 확인했습니다.
좀 다른 얘기인데,
디펜더를 완전히 죽이니 윈도우상에서 바로 알수없는
이벤트 로그 뷰어에만 확인되는 반복적인 많은 경고,에러 메세지가
전 싹 사라졌습니다.
디펜더 설정과 서비스를 개별적으로 수정을 많이 했었거든요.
왜 이벤트 로그 에러가 그렇게 뜨는지 이해를 못했는데,
이전부터 디펜더 설정조정을 해서 그렇단걸 알았습니다.
https://windowsforum.kr/data/17651111
Sordum 쪽에서 제작한 Defender Control 이란 유틸이 있습니다.