Header

角島
システムエンジニアの視点から見た将棋界の話題。たまに検証記事など。

Windows DefenderとイベントID17は関係あるのか?

SC2 2020-09-27 reload 2021-10-03
Tags
Atom | RSS
このサイトを検索 | Search this site
Windows DefenderとイベントID17は関係あるのか?

マイクロソフトは、Windows 10 v1903以降のOSビルドにおいて、レジストリの値 [DisableAntiSpyware] を削除したことを発表しました。(Microsoft Docs

この情報は、OEMおよびIT担当者向けに発表されたもので、適用対象は、Windows Serverです。

Windows Defender以外のセキュリティソリューションを利用しているユーザーは、Windows Defenderを機能させないために [DisableAntiSpyware] を設定することができましたが、v1903以降のビルドを使用している時はレジストリに設定したとしても期待通りの結果は得られません。

このブログに EVENT-ID 17 の情報を求めてアクセスしてくださる方がいらっしゃいますが、DisableAntiSpywareと関係があるのでしょうか?

私はWindows Defenderユーザーのため特に問題は起きていませんが、DisableAntiSpywareとイベントID17についてキーと思われるレジストリの値などをメモに残しておきたいと思います。


目次[表示]

v1903以降

公式サイトでアナウンスされているように、Windows 10 v1903以降のビルドでは、Windows Defenderは次の動作をします。

[Windows 10 v1903~]
  1. Windows 10がサードパーティのセキュリティソリューションを検知する
  2. Windows Defenderをオフにする

DisableAntiSpywareを設定した時と同じ動作をするように仕様変更されたため、DisableAntiSpywareは削除されました。

とはいえ、Windows Defenderのプロセスが完全に止まるわけではありません。

レジストリ

Windows DefenderとイベントID17関連のレジストリのパスとDWORDの値。

HKLM: HKEY_LOCAL_MACHINE
設定値
DWORDパス
DisableAntiSpyware1HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
Start4HKLM\SYSTEM\CurrentControlSet\Services\SecurityHealthService
Start4HKLM\SYSTEM\CurrentControlSet\Services\wscsvc

説明

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
  • DisableAntiSpywareは既定では存在しない。
  • Windows 10は、サードパーティのセキュリティソリューションを検知して自動的にWindows DefenderをOFFにするため、v1903以降は新規作成しても無意味である。

HKLM\SYSTEM\CurrentControlSet\Services\SecurityHealthService
  • EVENT-ID 17が記録された時に設定すると問題が解決するとされているレジストリキー
  • 既定値は DWORD:3
  • DWORD:4 にするとエラーが消える(らしい?)
  • wscsvcとセットで設定する

HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
  • EVENT-ID 17が記録された時に設定すると問題が解決するとされているレジストリキー
  • 既定値は DWORD:3
  • DWORD:4 にするとエラーが消える(らしい?)
  • SecurityHealthServiceとセットで設定する

まとめ

Windows DefenderとイベントID17について。
  • v1903以降ではDisableAntiSpywareは機能しない
  • イベントID17が記録されるときは、SecurityHealthServiceとwscsvcのDWORD値を4にするとエラーの記録が止まる(とされている)
  • SecurityHealthServiceとwscsvcはセットで変更する

 WindowsDefender
  1. 【必見!】ExplorerPatcherをWindows Defenderの誤検出から除外する PowerShell スクリプト
  2. Windows 11でExplorerPatcherが隔離される問題を回避する方法
  3. 【続】Windows 11でExplorerPatcherが隔離される問題を回避する方法
  4. [EventId 10016] Security Center のスタートアップを変更する方法
  5. サクラエディタの起動遅延問題【対策あり】
  6. [EventId 20] Windows Defenderの定義ファイル更新エラーの解決方法【手動で更新】
  7. エラーコード0xC0370400, 0x80070003は再起動で回復 (WDAG)
  8. サクラエディタの起動が遅くなった時は...?

 External link
EventId の記事 (Articles about the EventId)
  1. 【24H2】Windows 11アップグレード後に復活したイベントログ(またか!)
  2. Windows 11 22H2 とイベントログ(た~くさん)
  3. [EventId 10016] RuntimeBroker に Users を追加する方法【レジストリエディタ】
  4. [EventId 200,201,202] DeviceSetupManager の警告
  5. [EventId 131] メタデータステージングが失敗しました (DeviceSetupManager)
  6. [EventId 10016] Security Center のスタートアップを変更する方法
  7. [EventId 16398] 新しいBITSジョブを作成できませんでした
  8. [EventId 4] セッションP2PLogの最大ファイル サイズに達しました
  9. [EventId 2484] タイルデーターベースの破損
  10. [EventId 455] EDB.log を開いているときに、エラー -1023 (0xfffffc01) が発生しました (ESENT関連)
  11. EventId ラベルの記事(要約付)
  12. WindowsDefender が含まれる記事(要約付)
新着順 (New arrival order)
  1. 【Pixel 4月/2025】生体認証、カメラ、ディスプレイ、UIの修正【Android 15】
  2. 【2024年度】藤井七冠(最優秀棋士)、羽生九段、会長辞任はタイトル100期への伏線か?
  3. 【バグ】TVerRec 3.4.2 のリネーム処理不具合とその原因を考察
  4. 【恐怖】ポンジスキームとは?歴史から学ぶ詐欺の仕組み
  5. 【終息】TVerRec 3.3.9(暫定)で機能制限ほぼ解除、3.4.0リリース!
  6. 【緊急】TVerRec 3.3.6緊急リリース!仕様変更に暫定対応
  7. 【未解決】TVerRecダウンロード不具合!TVerの仕様変更かも?
  8. 【2024年度】全棋士ランキング確定、伊藤匠叡王B1へ昇級、羽生九段B2へ降級
  9. 【2024年度振り返り】なぜ藤井聡太は人々を魅了するのか?
  10. 【更新】Lhaz 2.5.4リリース!法人利用が有料化へ
タイトル:Windows DefenderとイベントID17は関係あるのか?:SC2
Windowsランキング 将棋ランキング スマホ・携帯ランキング にほんブログ村 IT技術ブログ ライフハックへ にほんブログ村 その他趣味ブログ 将棋へ

このサイトを検索 | Search this site
Tags
SC2

投稿者 SC2

将棋ウォッチャーのカシミヤです。元SE。(@sc2kzstock)検証したことをメモに残しています。質問は受け付けていません。Windows、Android、将棋の話題。 --- I am taking notes on what I have verified. No questions are accepted. Information welcome! (@sc2kzstock) Topics related to Windows, Android, free software, and Japanese chess.