温馨提示:本文只是做到了知其然而不知其所以然的程度,不能应对所有情况
前言
系统环境:Windows 11 专业版 24H2 26100.3775
如果你的 Windows Denfender 出现了如下图所示的警告,那么这就是我们所要处理的问题
但是在正式开始之前,我们需要知道,想要达成图中红字的效果,在不涉及企业下发策略的情况下,通常只能通过组策略和注册表进行实现;更进一步的说,同样的命令,组策略的优先级是高于注册表的。
俗话说得好,解铃还须系铃人,所以我们解除 此设置由管理员进行管理
也需要从组策略和注册表进行入手
正文
通过不知道什么办法我们打开了本地组策略管理器,然后我们进入到 计算机配置\管理模版\系统\Device Guard
,这里我们需要确保 打开基于虚拟化的安全
是关闭/未配置状态的;如果是开启状态而希望调成未配置状态,必须先应用一次关闭状态才能将未配置生效(本人电脑是这样的,不知道为什么)
然后重启你进入安全中心就会发现
我不是已经关了组策略吗?为什么还是处于 此设置由系统管理员进行管理
?
这就是组策略这玩意最坑爹的地方了,有一部分组策略是开启一次之后,即使你修改成禁止状态也不会生效的(所以没事别碰组策略)。
但严格意义上来说,修改之后是生效了的;因为经过我多次实验,如果你不修改组策略而单独修改组策略的情况下,注册表的修改在重启之后是会直接重置的。这也是前言中组策略优先级比注册表高的结论来源。
所以接下来我们需要修改的地方就是注册表,也是通过不知道什么办法我们打开了注册表编辑器。然后来到了 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios
这里就是内核隔离的注册表区域,如下图所示
然后细心的你一定发现了图中有 WasEnabledBy
和 Managed
两个关键字,而含有两个关键字地方就是我们需要修改的。
我们只需要检索 Scenarios
项下面所有的项,找到并修改成 16 进制下的 0 就可以关闭了。
效果如下
相似的,如果系统中有其他出现 此设置由管理员进行管理
的地方,也可以采用类似方法进行处理
最后,我们还可以转换一下思路,如果遇到系统里面打不开的选项,我们也可以这样反向操作
就比如本文第一张图我的电脑是不能手动打开 内核模式硬件强制堆载保护
的(微软经典逆天操作),通过组策略就可以把它强制打开