Windows Defender – trwałe wyłączenie lub usunięcie na Windows 10, 11, Server

Pytanie

Windows Defender - wyłączenie lub usunięcie na stałe

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• Na Windows 10/11 (klient) nie ma wspieranego przez Microsoft sposobu „odinstalowania” Microsoft Defender Antivirus. Trwałe wyłączenie jest ograniczone i bywa nadpisywane przez mechanizm Ochrony przed manipulacją (Tamper Protection). Najstabilniejsze i wspierane metody to:
  • instalacja innego antywirusa (Defender przechodzi w tryb pasywny/wyłączony),
  • polityka „Wyłącz Microsoft Defender Antivirus” (GPO) w edycjach Pro/Enterprise, z uwzględnieniem Tamper Protection,
  • dodanie precyzyjnych wykluczeń zamiast całkowitego wyłączania.
• Na Windows Server (2016 i nowsze) komponent Microsoft Defender Antivirus można oficjalnie odinstalować jako „cechę” systemu (role/features). (learn.microsoft.com)

Kluczowe punkty

• Klucz rejestru DisableAntiSpyware/DisableAntivirus jest usunięty i ignorowany w nowoczesnych wersjach Defendera — nie należy na nim polegać. (learn.microsoft.com)
• Tamper Protection blokuje lub cofa zmiany w ustawieniach zabezpieczeń (także GPO/rejestr), o ile nie zostanie wyłączona odpowiednią, wspieraną metodą. (learn.microsoft.com)
• Ręczne wyłączanie usług/sterowników (np. WinDefend, WdFilter) poprzez modyfikacje rejestru/tryb awaryjny jest niewspierane i może destabilizować system. (learn.microsoft.com)

Szczegółowa analiza problemu

• Architektura i samoobrona
  • Microsoft Defender Antivirus jest składnikiem systemu Windows 10/11, ściśle zintegrowanym z Windows Security Center (WSC) i mechanizmem samoobrony Tamper Protection. Ten ostatni uniemożliwia trwałe wyłączenie lub przywraca ustawienia bezpieczeństwa po wykryciu „manipulacji” (w tym zmian GPO/rejestru). Dlatego część technik, które działały w przeszłości, dziś bywa nieskuteczna. (learn.microsoft.com)
• Wyłączenie „na stałe” w praktyce
  • Instalacja antywirusa innej firmy powoduje, że Defender dezaktywuje ochronę w czasie rzeczywistym (w scenariuszach korporacyjnych może przejść w tryb pasywny). Jest to wspierany i najstabilniejszy sposób „wyłączenia” bez naruszania integralności systemu. (learn.microsoft.com)
  • GPO: Zasada „Turn off Microsoft Defender Antivirus” (Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Microsoft Defender Antivirus) formalnie wyłącza Defendera w edycjach Pro/Enterprise. Jeśli jednak Tamper Protection jest aktywny i zarządzany, może zignorować lub cofnąć te ustawienia — należy to uwzględnić w procedurze. (learn.microsoft.com)
  • Rejestr: legacy‑klucze DisableAntiSpyware/DisableAntivirus zostały usunięte i są ignorowane — ta metoda nie jest już właściwą drogą. (learn.microsoft.com)
• Tryb pasywny (Passive Mode)
  • W środowiskach z Defender for Endpoint (MDE) dostępny jest tryb pasywny wymuszany kluczem ForceDefenderPassiveMode (HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection = 1). Uwaga: przy włączonym Tamper Protection Defender może przejść z pasywnego do aktywnego, ale nie odwrotnie — co ogranicza możliwość „utrwalenia” pasywności. Ten mechanizm jest przeznaczony głównie dla urządzeń onboardowanych do MDE. (learn.microsoft.com)
• Systemy serwerowe
  • Na Windows Server 2016+ Microsoft dopuszcza odinstalowanie funkcji „Microsoft Defender Antivirus” (np. PowerShell: Uninstall‑WindowsFeature Windows‑Defender), a w razie potrzeby ponowną instalację/aktywację (DISM/Install‑WindowsFeature). To jedyny oficjalny scenariusz pełnego „usunięcia”. (learn.microsoft.com)
• Czego unikać
  • Modyfikowanie typu startu usług/sterowników (Start=4) i inne „twarde” obejścia w rejestrze/bezpiecznym rozruchu są niewspierane i ryzykowne (aktualizacje mogą przywracać pliki/usługi, a system traci warstwę ochrony). Microsoft wprost odradza takie podejście. (learn.microsoft.com)

Aktualne informacje i trendy

• Klucz DisableAntiSpyware/DisableAntivirus został wycofany; ustawienia te są dziś ignorowane (zabezpieczone przez Tamper Protection). To zmiana istotna względem starych poradników. (learn.microsoft.com)
• Windows 10 zakończył standardowe wsparcie 14 października 2025 r.; brak poprawek bezpieczeństwa dodatkowo zwiększa ryzyko pracy z wyłączonym AV. Dla wybranych użytkowników dostępny jest program rozszerzonych aktualizacji bezpieczeństwa (ESU). (support.microsoft.com)

Wspierające wyjaśnienia i detale

• Tamper Protection
  • Gdy jest włączona, zmiany w częściach konfiguracyjnych uznanych za krytyczne są blokowane lub odwracane; nie można jej wyłączyć GPO — w środowiskach zarządzanych stosuje się dedykowane tryby diagnostyczne lub narzędzia MDM, a na urządzeniach domowych przełącznik w aplikacji Zabezpieczenia Windows. (learn.microsoft.com)
• Tryb pasywny i współistnienie z AV firm trzecich
  • Dokumentacja Microsoft opisuje rejestrację dostawców AV w WSC i interpretację stanów AMRunningMode (Normal/Passive/EDR Block Mode). To właściwa ścieżka w środowiskach, gdzie MDE współistnieje z innym AV. (learn.microsoft.com)

Aspekty etyczne i prawne

• W środowiskach firmowych celowe obchodzenie zabezpieczeń (np. wyłączanie Defendera poza procesem zmian) może naruszać polityki bezpieczeństwa, wymagania zgodności (np. ISO 27001, NIST) oraz umowy z dostawcami. Zawsze działać za zgodą właściciela systemu i zgodnie z polityką organizacji.

Praktyczne wskazówki

• Najbezpieczniejsze „wyłączenie” (Windows 10/11 – klient):
  1. Rozważ instalację lekkiego, zaufanego AV firm trzecich. System sam przełączy Defendera w stan nieaktywny/pasywny. Zweryfikuj w Zabezpieczenia Windows > Ochrona przed wirusami i zagrożeniami > „Kto mnie chroni?” > „Zarządzaj dostawcami”. (learn.microsoft.com)
  2. Jeśli musisz użyć GPO (Pro/Enterprise): włącz „Turn off Microsoft Defender Antivirus” oraz dopasuj polityki ochrony w czasie rzeczywistym. Upewnij się, że Tamper Protection nie wymusza stanu aktywnego (w organizacjach – polityka centralna, tryb troubleshooting). (learn.microsoft.com)
  3. Zamiast całkowitego wyłączania – dodaj wykluczenia (foldery projektowe, procesy narzędzi EDA/kompilatory), aby zredukować konflikty i koszty I/O. W środowiskach serwerowych korzystaj z list automatycznych wykluczeń lub je doprecyzuj. (learn.microsoft.com)
• Wyłączenie tymczasowe (np. na czas instalacji oprogramowania):
  • W Zabezpieczenia Windows wyłącz „Ochrona w czasie rzeczywistym”; to ustawienie jest tymczasowe i może się samo włączyć ponownie (mechanizmy samoobrony). Alternatywnie PowerShell: Set‑MpPreference ‑DisableRealtimeMonitoring $true. (learn.microsoft.com)
• Windows Server:
  • Jeśli to serwer i wymagana jest stała rezygnacja z Defendera: Uninstall‑WindowsFeature Windows‑Defender (PowerShell, uprawnienia administratora) lub odznaczenie „Microsoft Defender Antivirus” w kreatorze „Remove Roles and Features”. W razie potrzeby można później przywrócić funkcję (DISM/Install‑WindowsFeature). (learn.microsoft.com)
• Diagnostyka stanu:
  • PowerShell: Get‑MpComputerStatus | Select AMRunningMode – potwierdza, czy Defender jest aktywny/pasywny. (learn.microsoft.com)

Ewentualne zastrzeżenia lub uwagi dodatkowe

• Narzędzia firm trzecich typu „Defender Control/Remover” nie są wspierane przez Microsoft i mogą spowodować problemy z aktualizacjami i integralnością systemu. Zalecam ich unikanie na stacjach roboczych z Windows 10/11. (Wspierane ścieżki podano wyżej.) (learn.microsoft.com)
• Ręczne wyłączanie sterowników/usług Defendera (np. Start=4 dla WdFilter) jest niewspierane – aktualizacje mogą przywracać komponenty, a system traci krytyczną warstwę ochrony. (learn.microsoft.com)

Sugestie dalszych badań

• Dla środowisk zarządzanych: polityki MDE, tryb pasywny i EDR in block mode (współistnienie z innym AV). (learn.microsoft.com)
• Przegląd i optymalizacja wykluczeń pod konkretne narzędzia inżynierskie (kompilatory, CAD/EDA, IDE). (learn.microsoft.com)
• Ocena ryzyka utrzymywania Windows 10 po 14.10.2025 i ewentualny ESU/upgrade do Windows 11. (support.microsoft.com)

Krótkie podsumowanie

• „Trwałe” wyłączenie lub usunięcie Defendera na Windows 10/11 klienckim jest celowo utrudnione (Tamper Protection, usunięte legacy‑klucze). Wspierane i stabilne scenariusze to instalacja innego AV (Defender pasywny/wyłączony), konfiguracja GPO (z uwzględnieniem Tamper Protection) oraz stosowanie wykluczeń. Na Windows Server odinstalowanie funkcji Defendera jest wspierane i odwracalne. Ze względów bezpieczeństwa i zgodności zalecam unikać metod „siłowych”. (learn.microsoft.com)

Jeśli podasz: wersję/edycję Windows (Home/Pro/Enterprise/Server), cel (np. konflikt z kompilatorem, integrator skryptów), politykę Tamper Protection i to, czy ma działać inny AV — przygotuję precyzyjną procedurę krok‑po‑kroku dla Twojego przypadku.