Por vezes, precisamos criar laboratórios para testar alguns malwares ou ferramentas a fim de entender seu comportamento. No entanto, ao executá-los no Windows, o Windows Defender bloqueia a execução (como esperado). Isso, porém, impede-nos de observar o comportamento efetivo. Imagine um cenário em que o atacante consegue realizar um bypass do Defender ou da ferramenta de EDR. O que fazemos se isso acontecer? É importante conhecer o comportamento, para criar formas de detecções mais efetivas e não apenas confiar que a ferramenta fará o bloqueio.
Nesta postagem, mostraremos como desabilitar o Defender em um laboratório de forma permanente.
Para isso, utilizaremos o Windows na seguinte versão:
A primeira coisa a fazer é buscar na barra de pesquisa por "Windows Security" e clicar em "Windows Security"
Após abrir, clique em "Virus & threat protection"
Navegue até "Virus & threat protection settings" e clique em “Manage settings”
Na próxima tela, desabilite as proteções
Isso desabilitará de forma temporária as proteções. Para desabilitá-las permanentemente, precisamos modificar as políticas do Windows.
Pressione "Windows" + R, escreva "gpedit.msc" e clique em "OK" para abrir o Local Group Policy Editor.
Nele, vá até “Computer Configuration -> Administrative Templates -> Windows Components -> Microsoft Defender Antivirus” e abra o "Turn off Microsoft Defender Antivirus"
Marque a opção “Enabled” e clique em “Apply” e depois em “OK”
Faça o mesmo processo em “Computer Configuration -> Administrative Templates -> Windows Components -> Microsoft Defender Antivirus -> Real-time Protection” e habilite o “Turn off real-time protection”
No mesmo diretório, desabilite o "Turn on behavior monitoring"
Com essas alterações, as defesas do Windows deverão ficar sempre desabilitadas, mesmo após reiniciar o sistema.
Comments