マイクロソフトは、Windows 10 v1903以降のOSビルドにおいて、レジストリの値 [DisableAntiSpyware] を削除したことを発表しました。(Microsoft Docs)
この情報は、OEMおよびIT担当者向けに発表されたもので、適用対象は、Windows Serverです。
Windows Defender以外のセキュリティソリューションを利用しているユーザーは、Windows Defenderを機能させないために [DisableAntiSpyware] を設定することができましたが、v1903以降のビルドを使用している時はレジストリに設定したとしても期待通りの結果は得られません。
このブログに EVENT-ID 17 の情報を求めてアクセスしてくださる方がいらっしゃいますが、DisableAntiSpywareと関係があるのでしょうか?
私はWindows Defenderユーザーのため特に問題は起きていませんが、DisableAntiSpywareとイベントID17についてキーと思われるレジストリの値などをメモに残しておきたいと思います。
v1903以降
公式サイトでアナウンスされているように、Windows 10 v1903以降のビルドでは、Windows Defenderは次の動作をします。[Windows 10 v1903~]
- Windows 10がサードパーティのセキュリティソリューションを検知する
- Windows Defenderをオフにする
DisableAntiSpywareを設定した時と同じ動作をするように仕様変更されたため、DisableAntiSpywareは削除されました。
とはいえ、Windows Defenderのプロセスが完全に止まるわけではありません。
レジストリ
Windows DefenderとイベントID17関連のレジストリのパスとDWORDの値。HKLM: HKEY_LOCAL_MACHINE
| DWORD | 値 | パス |
| DisableAntiSpyware | 1 | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender |
| Start | 4 | HKLM\SYSTEM\CurrentControlSet\Services\SecurityHealthService |
| Start | 4 | HKLM\SYSTEM\CurrentControlSet\Services\wscsvc |
説明
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender- DisableAntiSpywareは既定では存在しない。
- Windows 10は、サードパーティのセキュリティソリューションを検知して自動的にWindows DefenderをOFFにするため、v1903以降は新規作成しても無意味である。
HKLM\SYSTEM\CurrentControlSet\Services\SecurityHealthService
- EVENT-ID 17が記録された時に設定すると問題が解決するとされているレジストリキー
- 既定値は DWORD:3
- DWORD:4 にするとエラーが消える(らしい?)
- wscsvcとセットで設定する
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
- EVENT-ID 17が記録された時に設定すると問題が解決するとされているレジストリキー
- 既定値は DWORD:3
- DWORD:4 にするとエラーが消える(らしい?)
- SecurityHealthServiceとセットで設定する
まとめ
Windows DefenderとイベントID17について。- v1903以降ではDisableAntiSpywareは機能しない
- イベントID17が記録されるときは、SecurityHealthServiceとwscsvcのDWORD値を4にするとエラーの記録が止まる(とされている)
- SecurityHealthServiceとwscsvcはセットで変更する
External link
:SC2
このサイトを検索 | Search this site
ブロトピ:今日のブログ更新