Windows10 改ざんの防止機能でWindowsDefenderをGPOから無効化できないという事象があるようです。厳密には事象というか、仕様のようです。
そもそも、サードパーティー製のウイルス対策ソフトをインストールするとそちらの制御になります。サーバーの場合は、無効にしないと両方実行されてしまいます。
そして、その情報はマイクロソフトのフォーラムに情報がありました。
以下は質問内容です。
gpresultの結果を見る限りGPOは適用されているがGUIに反映されません。
一応、1台は適用できているのでサーバーは正常な気がします。GPO適用がされない原因で考えられるものがあれば教えてください。
<やりたい事>
・WindowsDefenderをGPOから無効化したい<環境>
・ Windows2012R2・ 実体テストPC1:Win10 2004(19041.572)→NG
・ 実体テストPC2:Win10 2004(19041.508)→NG
・ 実体テストPC3:Win10 2004(19041.572)→NG
・ 実体テストPC4:Win10 2004(19041.572)→NG・ 仮想テストPC1:Win10 20H2(19042.572)→NG
・ 仮想テストPC2:Win10 1809(17763.253)→OK
※上記テスト環境とは違う実際のAD環境ではv1809 PCも動作しません。
・サーバーの設定は以下の通り。
そして、回答には、Windows10 改ざんの防止機能でWindowsDefenderをGPOから無効化できないとあります。
確かにその記載がありますね。同様の事象で悩んでいる場合は参考にしてみてください。
注意:
●改ざん防止機能は、レジストリを使用して Windows Defender ウイルス対策の設定を変更しようとする動作をブロックします。サードパーティ製のセキュリティ製品や、これらの設定を変更するエンタープライズ用インストール スクリプトに対して、改ざん防止機能による干渉を回避するには、Windows セキュリティで、セキュリティ インテリジェンスをバージョン 1.287.60.0 以降に更新します。この更新後、改ざん防止機能によりレジストリ設定が引き続き保護され、設定を変更しようとする動作があれば、エラーを返さずログに記録されます。
●[改ざん防止] の設定がオンになっている場合、DisableAntiSpywareグループ ポリシーキーを使用して Windows Defender ウイルス対策サービスをオフにすることはできません。
「参考」
改ざん防止機能によってセキュリティ設定の変更を防止する
エレコム マウス ワイヤレス (レシーバー付属) Lサイズ 5ボタン (戻る・進むボタン搭載) BlueLED 握りの極み ブラック M-XGL10DBBK |