Chcesz wyłączyć Windows Defender, bo spowalnia gry albo blokuje specjalistyczne programy CAD na budowie. Szukasz konkretnych komend, ścieżek i ustawień, które naprawdę działają w Windows 10 i Windows 11. W tym poradniku krok po kroku przejdziesz przez sprawdzone metody wyłączenia Microsoft Defender Antivirus wraz z bezpiecznym przywróceniem ochrony.
Co to jest windows defender i kiedy warto go wyłączyć?
Windows Defender (Microsoft Defender Antivirus) to wbudowany w system Windows silnik antywirusowy, dostarczany przez Microsoft jako część pakietu Zabezpieczenia Windows. Obejmuje on kilka komponentów technicznych: ochrona w czasie rzeczywistym (Real-time protection), moduł Cloud-delivered protection, mechanizm planowanych skanowań, a także zintegrowany Microsoft Defender Firewall. W nowszych wersjach systemu dochodzi jeszcze warstwa Tamper Protection, która broni ustawienia antywirusa oraz rejestr systemowy przed nieautoryzowanymi zmianami wykonywanymi przez złośliwe oprogramowanie lub skrypty.
Silnik Defendera stale monitoruje pliki, procesy i ruch sieciowy, wykorzystując chmurę do analizy podejrzanych próbek oraz sygnatury aktualizowane przez Windows Update. Ochrona w czasie rzeczywistym sprawdza wszystko co jest uruchamiane lub zapisywane na dysku, skanowanie w chmurze przyspiesza decyzje o blokadzie, a firewall w ramach Zapora i ochrona sieci filtruje porty i połączenia. Taki zestaw jest zwykle wystarczający dla przeciętnego użytkownika, ale w środowiskach projektowych, na laptopach terenowych czy stacjach roboczych do renderingu bywa utrudnieniem.
Wyłączenie Defendera ma sens w kilku bardzo konkretnych sytuacjach. Gdy instalujesz alternatywny, certyfikowany antywirus, taki jak Norton Antivirus, Kaspersky, Avast, Bitdefender czy McAfee, potrzebujesz uniknąć sytuacji, w której dwa skanery działają jednocześnie i walczą o te same pliki. W projektach BIM i CAD, przy oprogramowaniu sterującym skanerami laserowymi, dronami czy innymi urządzeniami terenowymi, Defender potrafi blokować moduły sterowników i aktualizacje firmware.
W laboratoriach testowych, środowiskach deweloperskich i przy testowaniu własnego oprogramowania potrzebujesz czasem świadomie dopuścić narzędzia pentestowe, symulatory czy własne kompilacje, które antywirus traktuje jako potencjalnie szkodliwe. Na mocnych stacjach roboczych do renderingu i komputerach gamingowych wyłączenie skanowania w tle bywa sposobem na odzyskanie kilku lub kilkunastu procent mocy CPU i I/O, zwłaszcza przy dużych bibliotekach assetów lub tekstur. Podobnie na odpornych laptopach terenowych używanych na budowach, gdzie liczy się stabilność aplikacji branżowych bardziej niż dodatkowe funkcje konsumenckie.
Trwale wyłączony Defender oznacza jednak większe ryzyko infekcji, możliwe naruszenie polityki bezpieczeństwa firmy oraz brak bieżącej ochrony w trakcie aktualizacji systemu i sterowników. Z punktu widzenia zgodności z audytami IT i wymaganiami inwestorów w branży budowlanej ma to duże znaczenie, zwłaszcza na stacjach z danymi projektowymi.
Wyłączanie Defendera powinno być działaniem celowym i czasowym – zawsze notuj powód, sposób wyłączenia oraz plan przywrócenia ochrony.
Co powoduje automatyczne włączanie windows defender?
Jeśli po wyłączeniu Microsoft Defender Antivirus widzisz, że po restarcie albo po kilku minutach wszystko znów jest aktywne, winne są konkretne mechanizmy systemu Windows, które pilnują minimalnego poziomu ochrony i reagują na brak aktywnego antywirusa w systemie:
- Tamper Protection – warstwa zabezpieczeń w Zabezpieczenia Windows, która blokuje modyfikacje rejestru i usług związanych z Defenderem, a w razie wykrycia zmian przywraca ustawienia domyślne.
- Brak innego aktywnego antywirusa – gdy Security Center nie widzi zainstalowanego alternatywnego AV, automatycznie włącza Windows Defender, nawet jeśli był wcześniej wyłączony ręcznie.
- Polityki grupowe i MDM – ustawienia GPO lub konfiguracje z Intune czy SCCM mogą wymuszać aktywny Microsoft Defender Antivirus, nadpisując lokalne wyłączenia użytkownika.
- Automatyczne aktualizacje Windows Update – większe aktualizacje funkcji oraz paczki bezpieczeństwa potrafią przywrócić domyślny stan usług WinDefend oraz zmienić wartości w rejestrze.
- Mechanizmy naprawy systemu – narzędzia typu SFC, odzyskiwanie systemu czy przywracanie obrazu mogą uznać wyłączonego Defendera za błąd konfiguracji i przywrócić usługę.
- Zadania Harmonogramu zadań – w węźle zadań Windows znajdują się wpisy skanujące i kontrolne dla Defendera, które potrafią podnieść usługę po starcie systemu lub po dłuższej bezczynności.
- Skan integracyjny po aktualizacji bezpieczeństwa – po zainstalowaniu niektórych łatek bezpieczeństwa system wykonuje wymuszone skanowanie kontrolne, które potrafi aktywować usługę AV choćby czasowo.
- Ponowne włączenie przez Windows Security Center – moduł Security Center okresowo sprawdza stan ochrony i w razie wykrycia niezgodności z wymaganym profilem ryzyka włącza Defendera.
Na laptopach terenowych, serwerach projektowych czy stacjach roboczych w biurach architektonicznych mechanizmy te potrafią całkowicie zignorować lokalne wyłączenia, jeśli nad wszystkim czuwa dział IT przez MDM/Intune lub GPO. W takich przypadkach jedyną skuteczną metodą bywa zmiana ustawień centralnie, a nie na pojedynczym komputerze.
Metody wyłączenia windows defender – ustawienia, edytor zasad, rejestr i narzędzia
Windows Defender można wyłączyć tymczasowo z poziomu interfejsu graficznego lub PowerShell, albo bardziej trwale za pomocą zasad grupy, rejestru i wyłączenia usług. Tymczasowe metody (UI, komenda Set-MpPreference -DisableRealtimeMonitoring) zwykle działają do restartu lub do momentu, gdy system uzna, że musi przywrócić ochronę. Trwalsze sposoby opierają się na gpedit.msc, modyfikacji rejestru w HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender i zmianie konfiguracji usług WinDefend. Warto podkreślić, że edycja zasad grupy jest dostępna głównie w Windows 10 Pro, Windows 11 Pro i Enterprise, natomiast w Windows 11 Home zostają ci rejestr systemowy i PowerShell.
W środowiskach biurowych i na budowach dobór metody powinien odpowiadać temu, jak urządzenia są zarządzane. Na pojedynczym laptopie projektanta CAD możesz użyć wyłączenia przez UI i wykluczeń, natomiast na serwerze z repozytorium projektów lub stacji renderującej z wieloma kontami użytkowników lepiej zastosować spójną politykę GPO lub konfigurację rejestru powielaną skryptem. Różne edycje Windows reagują na te same ustawienia w nieco odmienny sposób, zwłaszcza jeśli aktywny jest moduł Tamper Protection.
Wyłączenie w ustawieniach i tymczasowe wstrzymanie ochrony
Najprostsza metoda to użycie aplikacji Zabezpieczenia Windows. W Windows 10 wejdziesz w nią przez: Ustawienia → Aktualizacja i zabezpieczenia → Zabezpieczenia Windows → Ochrona przed wirusami i zagrożeniami → Zarządzaj ustawieniami. W Windows 11 ścieżka wygląda podobnie: Ustawienia → Prywatność i zabezpieczenia → Zabezpieczenia Windows → Ochrona przed wirusami i zagrożeniami → Zarządzaj ustawieniami. W tym miejscu znajdziesz przełączniki takie jak Ochrona w czasie rzeczywistym (Real-time protection) oraz Ochrona oparta na chmurze (Cloud-delivered protection) i, jeśli potrzebujesz, opcje dotyczące Automatycznego przesyłania próbek.
Po przełączeniu tych suwaków w pozycję Wyłączone system tymczasowo zatrzyma monitorowanie plików i komunikację z chmurą, co pozwoli ci zainstalować wymagany sterownik skanera 3D, uruchomić kontrowersyjny instalator modułu BIM czy przetestować prototypową aplikację. Efekt utrzyma się zwykle do restartu komputera lub do momentu, gdy inne mechanizmy bezpieczeństwa (np. Tamper Protection) wymuszą ponowne uruchomienie ochrony. W praktyce jest to rozwiązanie dobre na krótkie operacje, a nie na stałe wyłaczenie antywirusa na stacji roboczej.
Tymczasowego wyłączenia możesz dokonać również za pomocą PowerShell, co przydaje się przy pracy zdalnej lub automatyzacji na wielu maszynach budowy. Uruchom PowerShell jako administrator i użyj polecenia: Set-MpPreference -DisableRealtimeMonitoring $true. To ustawienie wyłącza Ochronę w czasie rzeczywistym, dzięki czemu skrypty automatyzujące instalację oprogramowania branżowego czy narzędzia debugujące nie będą blokowane.
Aby przywrócić działanie modułu w tym samym oknie PowerShell, wpisz dokładnie: Set-MpPreference -DisableRealtimeMonitoring $false. W efekcie Microsoft Defender Antivirus ponownie włączy aktywne monitorowanie plików i procesów. Dla administratorów obsługujących kilka stacji CAD lub laptopów terenowych jest to szybki sposób na czasowe uchylenie ochrony bez konieczności przeklikiwania każdego urządzenia z osobna.
Jeśli w systemie aktywny jest Tamper Protection, nawet poprawne wywołanie Set-MpPreference może zostać zignorowane lub odwrócone po chwili, co oznacza, że ta metoda nie zadziała trwale.
Wyłączenie przez edytor zasad grupy (gpedit.msc)
Na komputerach z Windows 10 Pro, Windows 11 Pro lub Enterprise możesz wykorzystać Edytor lokalnych zasad grupy, aby mocniej ograniczyć działanie Defendera. Uruchom okno Uruchom kombinacją Windows + R, wpisz gpedit.msc i zatwierdź jako administrator. Następnie przejdź ścieżką: Konfiguracja komputera → Szablony administracyjne → Składniki systemu Windows → Microsoft Defender Antivirus. W głównym oknie znajdź politykę o nazwie Turn off Microsoft Defender Antivirus (w polskim interfejsie „Wyłącz Microsoft Defender Antivirus”) i otwórz ją dwuklikiem.
Aby wyłączyć silnik antywirusa, ustaw stan tej polityki na Enabled, czyli w polskiej wersji „Włączone”. Paradoksalnie oznacza to, że reguła „włącza” wyłączenie Defendera. Po zastosowaniu i zatwierdzeniu zmian system przestanie używać Microsoft Defender Antivirus jako głównego skanera. W tej samej ścieżce warto wejść w podfolder Real-time Protection i odpowiednie reguły, na przykład „Turn off real-time protection” ustawić również na Enabled. Ograniczy to do minimum działanie modułu Ochrona w czasie rzeczywistym i skanów w tle, co bywa istotne na stacjach roboczych renderujących duże modele 3D.
Warto podkreślić, że gpedit.msc jest dostępny jedynie w edycjach Pro, Enterprise i niektórych wersjach Windows Server. Użytkownik Windows 11 Home nie znajdzie Edytora zasad grupy w systemie, dlatego aby uzyskać podobny efekt, musi użyć rejestru systemowego, narzędzi typu PowerShell lub zewnętrznych aplikacji, takich jak Defender Control. Na komputerach domowych, które nie są częścią domeny i nie korzystają z centralnego zarządzania Intune, rejestr bywa najszybszym sposobem trwałej zmiany.
Po każdej modyfikacji zasad grupy warto wykonać w wierszu poleceń jako administrator komendę gpupdate /force i zrestartować komputer, aby nowe polityki dla Microsoft Defender Antivirus zostały w pełni zastosowane.
Wyłączenie przez rejestr systemowy (regedit i klucz disableantispyware)
Metoda rejestrowa działa zarówno w edycjach Home, jak i Pro, ale wymaga większej ostrożności. Otwórz okno Uruchom, wpisz regedit i uruchom Edytor rejestru jako administrator. Następnie przejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender. Jeśli go nie ma, możesz go utworzyć ręcznie. W tym miejscu stwórz nową wartość typu DWORD (32-bit) o nazwie DisableAntiSpyware i ustaw jej wartość na 1. Ta zmiana informuje system, że komponent antyszpiegujący i antywirusowy ma zostać wyłączony, co w praktyce dezaktywuje rdzeń Microsoft Defender Antivirus.
Aby przywrócić działanie antywirusa, najczęściej wystarczy usunąć wartość DisableAntiSpyware lub ustawić jej wartość na 0, a następnie ponownie uruchomić komputer. W nowszych kompilacjach Windows konieczne bywa też wyłączenie Tamper Protection w aplikacji Zabezpieczenia Windows przed edycją tego klucza, ponieważ aktywna ochrona ingerencje w rejestr systemowy traktuje jako niepożądane. Dla administratorów budujących skrypty automatyzujące konfigurację laptopów terenowych wygodniejsze mogą być komendy wiersza poleceń.
Do modyfikacji rejestru możesz użyć narzędzia reg.exe. Przykładowa komenda, którą uruchamiasz w wierszu poleceń jako administrator, wygląda tak: reg add „HKLM\SOFTWARE\Policies\Microsoft\Windows Defender” /v DisableAntiSpyware /t REG_DWORD /d 1 /f. Po jej wykonaniu warto zrestartować komputer, aby usługa WinDefend i jej zależności zinterpretowały nowe ustawienia i zatrzymały się zgodnie z polityką.
Jeśli chcesz dodatkowo wyłączyć monitorowanie w czasie rzeczywistym z poziomu rejestru, możesz użyć podklucza HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection. W tym miejscu da się utworzyć wartości DisableRealtimeMonitoring, DisableBehaviorMonitoring lub DisableOnAccessProtection typu DWORD i ustawić je na 1. Takie zestawienie praktycznie pozbawia Defendera zdolności do aktywnego reagowania na uruchamiane pliki, co wpływa na wydajność, ale też znacząco zwiększa powierzchnię ataku.
Podczas edycji rejestru najmniejsza literówka w ścieżce lub nazwie wartości potrafi doprowadzić do niestabilności systemu, dlatego przed wprowadzeniem zmian zawsze wykonaj eksport gałęzi rejestru do pliku i upewnij się, że masz możliwość uruchomienia trybu awaryjnego.
Narzędzia zewnętrzne – defender control i autoruns
Dla użytkowników, którzy wolą gotowe narzędzia zamiast ręcznej pracy w rejestrze, powstały programy takie jak Defender Control oraz Autoruns z pakietu Microsoft Sysinternals. Defender Control w prostym oknie pozwala włączać i wyłączać Windows Defender jednym przyciskiem, modyfikując w tle odpowiednie klucze rejestru oraz konfigurację usług. Autoruns natomiast służy za skaner autostartu systemu, umożliwia wykrycie i wyłączenie komponentów WinDefend, usług pomocniczych oraz zadań Harmonogramu powiązanych z Microsoft Defender Antivirus.
Aby skorzystać z takiego narzędzia, pobierz je z zaufanego źródła i uruchom jako administrator. W Defender Control wystarczy zwykle kliknąć przycisk typu „Disable Windows Defender”, po czym narzędzie zmienia ustawienia usług i rejestru, a status ochrony obserwujesz w oknie programu. W przypadku Autoruns przejdź do zakładki „Services” i znajdź wpisy takie jak WinDefend, następnie zaznacz lub odznacz je według potrzeb, a w zakładce „Scheduled Tasks” możesz wyłączyć harmonogram skanowań. Stan usługi dla antywirusa warto dodatkowo zweryfikować, uruchamiając w wierszu poleceń jako administrator komendę sc query WinDefend, która pokazuje czy usługa działa, jest zatrzymana lub wyłączona.
Narzędzia zewnętrzne wymagają jednak dużego zaufania do ich twórcy. Aktualizacje Windows Update potrafią nadpisać część wprowadzonych ustawień, przez co po pewnym czasie trzeba ponownie użyć programu lub ręcznie sprawdzić rejestr i usługi. Przy urządzeniach wykorzystywanych w firmach budowlanych czy pracowniach architektonicznych pobieranie takich aplikacji z niesprawdzonego źródła może nie tylko łamać polityki bezpieczeństwa, ale wręcz wprowadzić realne zagrożenie malware.
Wyłączenie windows defender dla specyficznych przypadków – gry, programowanie i firmy
Inaczej konfigurujesz ochronę na komputerze gamingowym, inaczej na stacji deweloperskiej czy laptopie projektanta instalacji sanitarnych. W wielu przypadkach zamiast pełnego wyłączenia Microsoft Defender Antivirus lepiej jest precyzyjnie dobrać wykluczenia i ustawienia tak, aby nie przeszkadzały przy pracy, a jednocześnie nadal zapewniały sensowną ochronę. Chodzi zarówno o uniknięcie fałszywych alarmów, jak i o zachowanie zgodności z politykami firmowymi, audytami bezpieczeństwa i wymaganiami kontraktów.
Gry i wydajność – jak ustawić wykluczenia?
Jeśli celem jest maksymalna wydajność w grach, najczęściej wystarczy ograniczyć skanowanie folderów z dużą liczbą małych plików, takich jak katalogi instalacyjne gier i biblioteki platform pokroju Steam czy Epic. Otwórz Zabezpieczenia Windows → Ochrona przed wirusami i zagrożeniami → Zarządzaj ustawieniami → Wykluczenia, a następnie skorzystaj z opcji „Dodaj lub usuń wykluczenia”. W tym miejscu możesz dodać cały folder z grą, konkretny plik .exe uruchamiający tytuł, a także katalogi tymczasowe, w których gry zapisują cache i pliki shaderów.
Dzięki takim wykluczeniom Windows Defender przestaje intensywnie skanować pliki gry podczas uruchamiania poziomów oraz w trakcie streamowania tekstur z dysku. Na komputerach z dyskami HDD lub tańszymi SSD różnica jest wyczuwalna, zwłaszcza gdy równolegle działa oprogramowanie nagrywające materiał video lub komunikatory głosowe. W środowiskach domowych taka konfiguracja pozwala zachować działającą ochronę dla pozostałych folderów, w tym pobieranego oprogramowania czy dokumentów, a jednocześnie nie ogranicza płynności rozgrywki.
Programowanie i testy – jak uniknąć konfliktów z narzędziami?
Przy tworzeniu oprogramowania, automatyzacji procesów czy testach penetracyjnych Defender często reaguje na narzędzia kompilujące, debugujące, skrypty PowerShell oraz biblioteki pobierane z repozytoriów. Dobrym nawykiem jest objęcie wykluczeniami katalogów roboczych, takich jak foldery projektów, środowiska wirtualne i zależności. W praktyce chodzi o ścieżki z katalogami typu .venv, node_modules, lokalne foldery build dla C++ czy katalogi używane przez narzędzia do symulacji obciążeń konstrukcji.
Możesz dodać takie lokalizacje z poziomu GUI, ale przy większej liczbie projektów wygodniejszy jest PowerShell. Uruchom go jako administrator i użyj polecenia: Add-MpPreference -ExclusionPath „C:\sciezka”. W miejsce C:\sciezka wstaw katalog, w którym trzymasz projekty lub repozytorium kodu. Dodatkowe wykluczenia możesz dodać dla katalogów binarnych narzędzi do debugowania czy emulatorów urządzeń terenowych używanych w branży budowlanej.
W środowiskach deweloperskich bezpieczniejsze jest stosowanie dobrze przemyślanych wykluczeń niż całkowite wyłączanie Windows Defender. Dzięki temu nadal chronisz system operacyjny i krytyczne dane, a jednocześnie nie marnujesz czasu na walkę z fałszywymi alarmami przy każdej kompilacji.
Firmy
W korporacjach, biurach projektowych i większych firmach wykonawczych konfiguracja Microsoft Defender Antivirus jest zwykle zarządzana centralnie. Administratorzy używają narzędzi takich jak Intune, Microsoft Endpoint Manager, SCCM oraz zasady grupy GPO, aby ustalić jednolitą politykę dla wszystkich komputerów w domenie. W takim scenariuszu wyłączenie Defendera na pojedynczej stacji roboczej wymaga stworzenia lub zmiany odpowiedniego profilu zabezpieczeń zamiast lokalnej ingerencji przez regedit czy gpedit.msc.
Każda modyfikacja ochrony musi być opisana w dokumentacji i uwzględniona w audycie, ponieważ wpływa na zgodność z normami bezpieczeństwa, wymaganiami kontraktowymi i wytycznymi inwestorów. Wyłączanie Defendera lokalnie na laptopie z projektami konstrukcyjnymi bez wiedzy działu IT może zostać uznane za poważne naruszenie polityk bezpieczeństwa, co w skrajnym przypadku skutkuje odpowiedzialnością dyscyplinarną.
Wyłączenie zapory i instalacja alternatywnego antywirusa – instrukcja i konflikty
Oprócz silnika antywirusa w system wbudowana jest także Zapora (firewall) będąca częścią modułu Zapora i ochrona sieci. Aby tymczasowo wyłączyć ją z poziomu linii komend, użyj w wierszu poleceń uruchomionym jako administrator komendy: netsh advfirewall set allprofiles state off. Dezaktywuje ona zaporę dla wszystkich profili sieciowych. W interfejsie graficznym wchodzisz w Panel sterowania → System i zabezpieczenia → Zapora Windows Defender, następnie wybierasz konfigurację dla profilu Sieć z domeną, Sieć prywatna lub Sieć publiczna i dla każdego profilu możesz ręcznie wyłączyć filtrację ruchu.
Instalując alternatywny antywirus, na przykład Norton Antivirus, Kaspersky, Avast, Bitdefender czy McAfee, zwykle korzystasz z kreatora instalacji, który po wykryciu obecności Windows Defender zgłasza chęć przejęcia roli głównej ochrony. Security Center w takim wypadku zazwyczaj automatycznie wyłącza Defendera jako aktywny silnik w czasie rzeczywistym, zostawiając go jedynie jako skaner na żądanie. Jeśli jednak oba skanery pozostają aktywne, możesz odczuć spadek wydajności, blokady plików oraz konflikty przy otwieraniu projektów CAD czy renderowaniu. W takiej sytuacji najprościej odinstalować jeden z programów, wykonać restart i sprawdzić w Zabezpieczenia Windows, który antywirus jest widoczny jako główna ochrona.
Przed wyborem alternatywnego rozwiązania warto sprawdzić, czy posiada ono aktualne certyfikaty, jest wspierane przez producentów twojego oprogramowania branżowego i nie sprawia problemów z licencjonowaniem w środowisku domenowym. Na urządzeniach używanych na budowach, gdzie łączność bywa niestabilna, dobrze działa antywirus potrafiący pracować wydajnie w trybie offline i nieszczególnie obciążający słabsze podzespoły laptopów terenowych.
Rozwiązywanie problemów i przywrócenie windows defender – tamper protection, auto włączanie i aktualizacje
Gdy po serii modyfikacji chcesz przywrócić pełną ochronę Microsoft Defender Antivirus, wykonaj kilka kroków w odpowiedniej kolejności. Najpierw w aplikacji Zabezpieczenia Windows przejdź do sekcji Ochrona przed wirusami i zagrożeniami oraz sprawdź stan Tamper Protection. Jeżeli był wyłączony na czas zmian, możesz go na razie pozostawić nieaktywnym, aby łatwiej cofnąć modyfikacje w rejestrze. Następnie usuń lub odwróć zmiany wprowadzone wcześniej, na przykład używając komendy reg delete dla wartości DisableAntiSpyware albo ustawiając ją na 0.
Kolejny krok to włączenie usługi WinDefend. W wierszu poleceń uruchomionym jako administrator możesz użyć sekwencji: sc config WinDefend start=auto a następnie sc start WinDefend, co przywróci automatyczne uruchamianie tej usługi wraz z systemem. W środowiskach zarządzanych przez GPO warto po zmianach wykonać gpupdate /force, aby zaktualizować lokalne polityki. Na końcu w PowerShell uruchom polecenia Set-MpPreference -DisableRealtimeMonitoring $false oraz Update-MpSignature, które ponownie aktywują ochronę w czasie rzeczywistym i zaktualizują sygnatury, zanim Tamper Protection zostanie ponownie włączony.
Jeśli Defender samoczynnie się włącza, choć wolałbyś inne ustawienia, warto sprawdzić logi systemowe, aby zrozumieć przyczynę. W Event Viewer (Podgląd zdarzeń) przejrzyj dzienniki Aplikacja oraz System pod kątem wpisów związanych z Microsoft Defender i Security Center. Następnie sprawdź Harmonogram zadań pod pozycjami związanymi z Windows Defender, które mogą co pewien czas wymuszać skanowanie lub kontrolę stanu. Równie istotne jest przeanalizowanie polityk MDM lub GPO, jeśli komputer jest częścią domeny.
Do weryfikacji bieżącego stanu usług użyj w wierszu poleceń komendy sc query WinDefend, a w PowerShell polecenia Get-MpPreference. Pierwsze pokaże ci stan usługi, drugie zwróci bieżące ustawienia Microsoft Defender Antivirus, w tym informacje o aktywnych wykluczeniach, stanie real-time protection i konfiguracji skanowania. Na tej podstawie można dokładnie ustalić, czy przywrócenie ochrony jest wynikiem polityki firmy, działania Tamper Protection, czy automatycznej korekty po aktualizacji Windows.
Przywróć Tamper Protection dopiero jako ostatni krok; wcześniej upewnij się, że definicje wirusów są aktualne, a system przeszedł pełne skanowanie przy użyciu polecenia Update-MpSignature i wbudowanego skanera.
W środowisku firmowym typowym problemem jest sytuacja, w której lokalne zmiany są natychmiast nadpisywane przez centralne GPO lub profile z Intune. Gdy zauważysz, że po każdym restarcie ustawienia Defendera wracają do wartości wymuszonych, jedynym rozsądnym rozwiązaniem jest kontakt z administratorem IT i formalne zgłoszenie potrzeby modyfikacji polityki dla danego komputera lub grupy urządzeń. Samodzielne omijanie zabezpieczeń w takiej strukturze z reguły jest nieskuteczne i łamie ustalone zasady bezpieczeństwa.
Uwagi ogólne i zgodność wersji
W Windows 10 i Windows 11 zachowanie Microsoft Defender Antivirus jest podobne, ale różnią się szczegóły. W Windows 11 mocniej rozbudowano moduł Tamper Protection, który częściej nadpisuje lokalne zmiany w rejestrze lub usługach. Edycje Windows 10 Pro i Windows 11 Pro/Enterprise oferują dostęp do gpedit.msc, co pozwala trwale wyłączyć Defendera przez polityki, natomiast w Windows 11 Home ta opcja jest niedostępna i musisz polegać na rejestrze i PowerShell. W każdej edycji interfejs Zabezpieczenia Windows integruje informacje z Security Center, dlatego instalacja zewnętrznego antywirusa zwykle powoduje automatyczne wyłączenie Defendera jako aktywnego skanera w czasie rzeczywistym, pozostawiając go jedynie jako narzędzie do skanowania na żądanie.
Ekspert: Przed jakąkolwiek trwałą zmianą zrób kopię zapasową rejestru i zaplanuj punkt przywracania systemu — to najprostsze zabezpieczenie przed niestabilnością sterowników i aplikacji branżowych.
Formaty i dodatkowe wymagania techniczne artykułu
W wielu opisanych powyżej metodach najważniejsze są konkretne komendy i ścieżki, które możesz dosłownie skopiować i wkleić. Komenda netsh advfirewall set allprofiles state off zatrzymuje Zapora Windows Defender dla wszystkich profili, sc query WinDefend pokazuje stan usługi Microsoft Defender Antivirus, a sekwencja sc config WinDefend start=auto oraz sc start WinDefend przywraca jej automatyczny start. Z kolei Set-MpPreference -DisableRealtimeMonitoring $true tymczasowo wyłącza ochronę w czasie rzeczywistym, natomiast Set-MpPreference -DisableRealtimeMonitoring $false włącza ją ponownie. Wszystkie te komendy mają bezpośredni wpływ na zachowanie systemu przy pracy z dużymi projektami CAD, renderowaniem czy obsługą urządzeń terenowych.
Przy modyfikacji rejestru korzystasz z pełnych ścieżek, na przykład HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender oraz podkluczy takich jak Real-Time Protection, gdzie tworzysz wartości DisableAntiSpyware i DisableRealtimeMonitoring. W zasadach grupy dokładna lokalizacja polityk to Computer Configuration → Administrative Templates → Windows Components → Microsoft Defender Antivirus oraz podfolder Real-time Protection. Używanie oryginalnej, angielskiej nazwy pól takich jak DisableAntiSpyware, DisableRealtimeMonitoring, WinDefend, Set-MpPreference minimalizuje ryzyko pomyłki i ułatwia pracę z zagraniczną dokumentacją.
Warto zebrać podstawowe komendy i narzędzia w jednym miejscu, aby mieć pod ręką prostą ściągę przy konfiguracji komputerów w biurze projektowym czy na zapleczu budowy:
| Cel | Polecenie / lokalizacja | Efekt |
| Wyłączenie zapory | netsh advfirewall set allprofiles state off | Tymczasowe wyłączenie firewall dla wszystkich profili sieci |
| Wyłączenie real-time | Set-MpPreference -DisableRealtimeMonitoring $true | Czasowe zatrzymanie ochrony w czasie rzeczywistym |
| Wyłączenie Defendera przez rejestr | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender → DisableAntiSpyware=1 | Dezaktywacja silnika Microsoft Defender Antivirus |
| Sprawdzenie usługi | sc query WinDefend | Odczyt stanu usługi WinDefend |
Ekspert: Jeśli urządzenie jest częścią domeny lub zarządzane przez Intune, lokalne wyłączenie Defendera najprawdopodobniej zostanie cofnięte — najpierw skonsultuj zmiany z administratorem IT, by uniknąć naruszeń polityk bezpieczeństwa.
Uwagi końcowe
Wyłączanie Microsoft Defender Antivirus ma sens wtedy, gdy chcesz zainstalować inny certyfikowany antywirus, wyeliminować konflikty z oprogramowaniem branżowym lub uzyskać przewagę wydajnościową na stacjach roboczych do gier i renderingu. W większości codziennych scenariuszy korzystniejsze jest jednak stosowanie precyzyjnych wykluczeń i czasowego wyłączenia ochrony w czasie rzeczywistym niż całkowita dezaktywacja Defendera w systemie. Każdą zmianę ustawień dobrze jest udokumentować, zwłaszcza w firmowych środowiskach domenowych, tak aby łatwo było wrócić do poprzedniej, bezpiecznej konfiguracji.
Po ponownym włączeniu Defendera warto sprawdzić, czy sygnatury są aktualne, na przykład poleceniem Update-MpSignature, oraz wykonać pełne skanowanie systemu w aplikacji Zabezpieczenia Windows. Na komputerach używanych na budowach lub w biurach projektowych pozwala to upewnić się, że w okresie obniżonej ochrony nie pojawiło się zagrożenie mogące zaszkodzić dokumentacji projektowej, plikom BIM czy oprogramowaniu sterującemu urządzeniami terenowymi. Dzięki temu zyskujesz balans między wydajnością, wygodą pracy i bezpieczeństwem danych.
Co warto zapamietać?:
- Windows Defender to wbudowany antywirus z modułami Real-time protection, Cloud-delivered protection, Firewall i Tamper Protection; jego trwałe wyłączenie zwiększa ryzyko infekcji i zwykle powinno być tylko czasowe lub zastąpione innym certyfikowanym AV.
- Najważniejsze komendy: tymczasowe wyłączenie ochrony w czasie rzeczywistym – Set-MpPreference -DisableRealtimeMonitoring $true, ponowne włączenie – Set-MpPreference -DisableRealtimeMonitoring $false, wyłączenie zapory – netsh advfirewall set allprofiles state off, sprawdzenie usługi – sc query WinDefend, przywrócenie jej autostartu – sc config WinDefend start=auto & sc start WinDefend.
- Trwalsze wyłączenie Defendera: przez GPO (Pro/Enterprise) – Computer Configuration → Administrative Templates → Windows Components → Microsoft Defender Antivirus → Turn off Microsoft Defender Antivirus = Enabled oraz reguły w podfolderze Real-time Protection; przez rejestr – klucz HKLM\SOFTWARE\Policies\Microsoft\Windows Defender, wartość DisableAntiSpyware=1 (DWORD) + opcjonalnie DisableRealtimeMonitoring=1 w podkluczu Real-Time Protection.
- Zamiast pełnego wyłączania zalecane są wykluczenia: w GUI Zabezpieczenia Windows → Ochrona przed wirusami i zagrożeniami → Zarządzaj ustawieniami → Wykluczenia lub w PowerShell Add-MpPreference -ExclusionPath „C:\sciezka” – dla folderów gier (Steam, katalogi gier, cache/shadery) oraz katalogów projektów i buildów (np. .venv, node_modules, foldery kompilacji) w środowiskach deweloperskich.
- Automatyczne ponowne włączanie Defendera wynika z Tamper Protection, braku innego AV, GPO/MDM (Intune, SCCM), aktualizacji Windows i zadań Harmonogramu; w środowiskach firmowych trwałe zmiany wymagają modyfikacji polityk centralnych, a przed każdą ingerencją w rejestr i zasady należy wykonać kopię zapasową oraz zaplanować możliwość łatwego przywrócenia ochrony (np. Update-MpSignature + pełne skanowanie po ponownym włączeniu).
