Dengan dirilisnya Pembaruan Windows 10 Mei 2019 (versi 1903), Microsoft memperkenalkan Anti-Pemalsuan , yang mencegah Keamanan Windows dan Pembela Microsoft mengubah pengaturan di luar antarmuka Windows. Istilah “pengaturan” juga mencakup alat baris perintah, perubahan registri, dan perubahan Kebijakan Grup.
Antivirus Pertahanan Microsoft tidak lagi dapat dinonaktifkan menggunakan registri
Secara historis, pengguna Windows 10 dapat mematikan Windows Defender dengan menggunakan kebijakan grup Nonaktifkan Windows Defender Antivirus .
Saat kebijakan ini diaktifkan, parameter DisableAntiSpyware dibuat di registri sistem dengan nilai 1 di sepanjang jalur:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender
Pada akhir Agustus, kami menulis bahwa Microsoft Defender tidak lagi mempertimbangkan entri registri ini . Ternyata perilaku ini terkait dengan karya “Anti-pemalsuan”.
Dalam dokumentasi untuk parameter DisableAntiSpyware, perusahaan menjelaskan:
Pengaturan usang ini tidak lagi diperlukan karena Microsoft Defender secara otomatis dinonaktifkan ketika program antivirus lain terdeteksi.
Harap dicatat bahwa parameter ini dilindungi oleh “Anti-pemalsuan”. Anti-Pemalsuan tersedia secara default di semua edisi Windows 10 Home dan Pro mulai dari versi 1903.
Pada akhir Agustus, kami menulis bahwa Microsoft Defender tidak lagi mempertimbangkan entri registri ini . Ternyata perilaku ini terkait dengan karya “Anti-pemalsuan”.
Dalam dokumentasi untuk parameter DisableAntiSpyware, perusahaan menjelaskan:
Tidak semuanya sesederhana itu
Khususnya, pengujian oleh BleepingComputer dan Comss.one menunjukkan bahwa meskipun anti-gangguan diaktifkan, nilai registri DisableAntiSpyware terus berfungsi untuk sementara waktu.
Jika Anda mengaktifkan pengaturan ini dan kemudian menghidupkan ulang komputer Anda, Pembela Microsoft akan dinonaktifkan untuk sesi tersebut. Namun, pada reboot berikutnya, Perlindungan Tamper akan memicu dan mengaktifkan kembali Windows Defender.
Bahkan kehilangan perlindungan jangka pendek ini sudah cukup bagi malware untuk menyusup ke komputer Windows.
Beberapa malware seperti TrickBot, Novter, Clop Ransomware, Ragnarok Ransomware, dan AVCrypt Ransomware sebelumnya telah ditemukan secara khusus menargetkan Windows Defender dan menonaktifkannya menggunakan nilai DisableAntiSpyware.
Tampaknya Microsoft menghapus kebijakan ini bukan hanya karena tidak lagi diperlukan, tetapi juga untuk mencegah penyerang mengeksploitasi kerentanan anti-pemalsuan ini.
Microsoft mengungkapkan alasan sebenarnya untuk perubahan tersebut
Di Pusat Pesan Microsoft Windows, Redmond mengkonfirmasi kecurigaan bahwa DisableAntiSpyware sekarang diabaikan untuk meningkatkan perlindungan anti-gangguan.
Peningkatan anti-pemalsuan dengan menghapus parameter DisableAntiSpyware
Anti-Pemalsuan Microsoft Defender diaktifkan secara default untuk semua perangkat konsumen Windows 10. Fitur ini melindungi perangkat dari serangan dunia maya yang mencoba menonaktifkan solusi keamanan internal dalam upaya mengakses data Anda, menginstal malware, atau mengeksploitasi data pengguna.
Identifikasi data dan perangkat. Karena Microsoft Defender Antivirus secara otomatis dinonaktifkan saat mendeteksi program antivirus lain, kami menghapus entri registri DisableAntiSpyware yang sudah usang. DisableAntiSpyware dimaksudkan untuk digunakan oleh OEM dan administrator TI untuk menonaktifkan Microsoft Defender Antivirus untuk menyebarkan produk antivirus lain selama penginstalan. Pengaturan tidak lagi berlaku untuk perangkat konsumen dan akan dihapus mulai dengan klien antimalware versi 4.18.2007.8 dan lebih tinggi (lihat KB4052623 untuk detailnya). Pembaruan ini akan diluncurkan ke perangkat yang menjalankan Windows Enterprise E3 dan E5 di masa mendatang.
Setelah kebijakan DisableAntiSpyware dihapus, malware tidak dapat lagi mengeksploitasi kerentanan Anti-Pemalsuan, dan Microsoft Defender hanya akan dinonaktifkan jika perubahan telah dilakukan di antarmuka Pengaturan Windows (selama sesi aktif) atau ketika perangkat lunak antivirus lainnya diinstal.
Perhatikan bahwa beberapa solusi penyesuaian pihak ketiga untuk Microsoft Defender, seperti Defender Control (menonaktifkan Windows Defender) dan Configure Defender (mengelola komponen perlindungan), masih berfungsi.
