Windows Defender neden kapatılamıyor sorusu, özellikle yazılım kurulumu yapan, test ortamı hazırlayan ya da sistemdeki güvenlik ayarlarını manuel yönetmek isteyen kullanıcıların en sık yaşadığı problemlerden biridir. Kullanıcı ayarı kapatır, birkaç dakika sonra yeniden açıldığını görür. Kimi zaman düğme pasiftir. Kimi zaman da “bu ayar yöneticiniz tarafından yönetiliyor” benzeri bir uyarı çıkar. Dışarıdan bakınca tek sorun vardır: Defender kapanmıyordur. Teknik tarafta ise durum biraz daha farklıdır.
Biz burada net konuşuyoruz. Windows Defender’ı kapatamamanız çoğu zaman bir hata değil, bilerek tasarlanmış bir koruma davranışıdır. Microsoft, gerçek zamanlı korumayı Ayarlar içinden kapatsanız bile bunun kısa süre sonra otomatik olarak yeniden açıldığını açıkça belirtiyor. Aynı belgelerde, başka bir antivirüs kurulduğunda Microsoft Defender Antivirus’un Windows Security içinde otomatik olarak devre dışı kaldığı da yazıyor.
Yani ilk ayrım şudur: Siz Defender’ı geçici olarak mı kapatmak istiyorsunuz, kalıcı olarak mı kapatmak istiyorsunuz, yoksa ayarın neden sizden bağımsız biçimde geri geldiğini mi anlamaya çalışıyorsunuz?
Windows Defender neden kapanmıyor?
En yaygın nedenlerden biri Tamper Protection, yani kurcalamaya karşı koruma özelliğidir. Microsoft’un resmi belgelerine göre Tamper Protection açıkken korunan güvenlik ayarlarında yapılan değişiklikler engellenebilir ya da değişiklik yapılmış gibi görünse bile gerçekte uygulanmayabilir. Aynı belgelerde, bu koruma açıkken kayıt defteri üzerinden yapılan değişiklik girişimlerinin de engellendiği açıkça belirtiliyor.
İkinci güçlü neden, cihazın bir kurum ya da güvenlik ekibi tarafından yönetiliyor olmasıdır. Microsoft, kuruluş tarafından yönetilen cihazlarda kullanıcıların Tamper Protection ayarını değiştiremeyebileceğini ve bu durumda ayarın güvenlik ekibi tarafından yönetildiğini söylüyor. Grup İlkesi ile yapılan bazı değişikliklerin de Tamper Protection açıksa yok sayılabileceği resmi olarak belirtiliyor.
Üçüncü başlık ise kullanıcıların çoğu zaman gözden kaçırdığı gerçek: Windows Security içinden kapattığınız gerçek zamanlı koruma zaten kalıcı kapatma mantığıyla çalışmıyor. Microsoft’un kendi arayüz belgesinde, Real-time protection kapatıldığında bunun kısa bir süre sonra otomatik olarak tekrar açıldığı yazıyor.
Önce şunu ayırın: Geçici kapatma mı, kalıcı kapatma mı?
Bu ayrım önemlidir. Çünkü aynı yöntemi iki farklı amaç için kullanmaya çalışınca kullanıcı doğal olarak “çalışmıyor” sonucuna varır.
Eğer amacınız kısa süreli bir test yapmaksa, Windows Security içinden Real-time protection ayarını kapatmak mantıklıdır. Ama bu kalıcı değildir; sistem bir süre sonra bunu yeniden açar. Microsoft bunu doğrudan söylüyor.
Eğer amacınız “neden Grup İlkesi, kayıt defteri ya da PowerShell ile kapatmaya çalışınca geri geliyor” sorusunu anlamaksa, burada odak noktası Tamper Protection olur. Çünkü Microsoft, Tamper Protection açıkken korunan ayarlardaki değişikliklerin engellendiğini ve Grup İlkesi üzerinden de bu korumanın kapatılamadığını açıkça belirtiyor.
Çözüm 1: Sadece kısa süreli kapatma istiyorsanız
Geçici kapatma için izlenecek yol Windows Security içindedir. Başlat menüsünden Windows Security açılır, ardından Virus & threat protection bölümüne girilir, oradan Virus & threat protection settings açılır ve Real-time protection kapatılır. Ancak burada kullanıcıya dürüst olmak gerekir: Bu yöntem kalıcı çözüm değildir. Microsoft’un resmi dokümanına göre bu ayar kısa bir süre sonra otomatik olarak yeniden açılır.
Bu yüzden kullanıcı “kapatıyorum ama geri geliyor” diyorsa, çoğu durumda karşısındaki şey bozukluk değil, sistemin normal davranışıdır.
Çözüm 2: Tamper Protection yüzünden kapanmıyorsa
Eğer cihaz kişisel kullanımda ise ve bir kurum tarafından yönetilmiyorsa, Tamper Protection ayarı Windows Security içinden açılıp kapatılabilir. Microsoft’un bireysel cihaz yönetimi sayfasında bunun yolu açıkça verilmiştir: Windows Security > Virus & threat protection > Virus & threat protection settings > Tamper Protection. Aynı sayfada, bu ayarı değiştirmek için cihazda uygun yönetici izinlerine sahip olmanız gerektiği de belirtiliyor.
Burada kritik nokta şudur: Tamper Protection açıkken kayıt defteriyle ya da başka dolaylı yöntemlerle Defender ayarlarını zorlamak çoğu zaman sonuç vermez. Çünkü Microsoft bu korumanın özellikle bu tür müdahaleleri engellemek için var olduğunu söylüyor.
Çözüm 3: “Yöneticiniz tarafından yönetiliyor” uyarısı varsa
Bu senaryoda çözüm yerel ayarlarla sınırlı olmayabilir. Microsoft, kuruluş tarafından yönetilen cihazlarda bireysel kullanıcıların Tamper Protection ayarını değiştiremeyebileceğini açıkça belirtiyor. Aynı şekilde Grup İlkesi ile yapılan değişikliklerin de kurcalamaya karşı korunan ayarlarda yok sayılabileceğini söylüyor.
Yani cihaz şirket ağına, okul politikasına, Intune’a ya da başka bir kurumsal yönetime bağlıysa sorun “neden kapanmıyor” değil, “bu cihazda kapatma yetkisi bende mi” sorusudur. Bu durumda yerel kullanıcı hesabıyla uğraşmak yerine BT ekibine gitmek gerekir.
Çözüm 4: Grup İlkesi veya kayıt defteri işe yaramıyorsa
Bu da çok sık yaşanır. Kullanıcı internette bir kayıt defteri anahtarı bulur, uygular, yeniden başlatır, yine kapanmaz. Ya da gpedit içinden bir ayarı açar ama Defender davranışı değişmez. Bunun nedeni çoğu zaman Tamper Protection’dır.
Microsoft’un resmi belgelerine göre Tamper Protection açıksa, tamper-protected ayarlarda yapılan değişiklikler yok sayılır. Aynı belgelerde, Tamper Protection’ın Grup İlkesi ile kapatılamayacağı da yazıyor. Öte yandan, uygun yönetim koşulları varsa ve Tamper Protection devre dışıysa, Grup İlkesi içinden Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Real-time Protection > Turn off real-time protection yolundaki ayar kullanılabiliyor. Microsoft aynı belgede bunun korumayı ciddi biçimde azalttığını ve önerilmediğini ayrıca vurguluyor.
Burada önemli olan şey şu: İnternette bulunan eski “registry ile tamamen kapat” çözümlerinin bugün her cihazda çalışmaması normaldir. Çünkü koruma modeli yıllar içinde daha sıkı hale gelmiştir.
Çözüm 5: Başka antivirüs yüklüyse neden farklı davranıyor?
Bu başlık da çok karıştırılır. Microsoft’un Windows Security dokümanına göre başka bir antivirüs ürünü kurulduğunda Microsoft Defender Antivirus otomatik olarak devre dışı kalır ve bu durum Windows Security içinde gösterilir. Aynı yerde sınırlı periyodik tarama seçeneğinin görünebileceği de belirtiliyor.
Ama kurumsal ya da Defender for Endpoint kullanılan bazı senaryolarda tablo daha farklı olabilir. Microsoft’un uyumluluk belgesinde, Defender’ın active mode, passive mode veya disabled/uninstalled durumlarına göre farklı yeteneklerle çalıştığı ve bazı kurumsal yapılarda “tamamen kapalı” yerine “passive mode” davranışının görülebileceği anlatılıyor.
Yani kullanıcı “başka antivirüs kurdum ama Defender hizmetleri tamamen yok olmadı” diyorsa, bu her zaman anormal bir durum değildir. Özellikle kurumsal koruma katmanları devredeyse davranış daha karmaşık olabilir.
Çözüm 6: Önce durumu ölçün, sonra müdahale edin
Kullanıcıların en sık yaptığı hata, neyin açık neyin kapalı olduğunu net görmeden müdahale etmeye çalışmak. Oysa Microsoft, PowerShell üzerinden Tamper Protection ve Real-time protection durumunu kontrol etmek için Get-MpComputerStatus komutunu öneriyor. Belgede özellikle IsTamperProtected ve RealTimeProtectionEnabled alanlarına bakılması gerektiği yazıyor.
Pratik olarak şu komut yeterlidir:
Get-MpComputerStatus | Select IsTamperProtected, RealTimeProtectionEnabled
Bu komut size iki kritik şeyi söyler. Birincisi, Tamper Protection açık mı? İkincisi, gerçek zamanlı koruma şu anda gerçekten aktif mi? Çünkü bazen kullanıcı arayüzde gördüğünü sanır ama asıl durumu ölçmez. Sorun da burada başlar.
Tamamen kapatmak yerine daha doğru yol ne olabilir?
Bunu açık söyleyelim. Birçok kullanıcı aslında Defender’ı tamamen kapatmak istemez; sadece belirli bir dosya, klasör ya da işlem için engel olmamasını ister. Microsoft’un Windows Security belgesinde dışlama, yani exclusion ekleme adımları açıkça anlatılıyor. Dosya, klasör, uzantı ya da işlem bazlı istisnalar tanımlanabiliyor.
Bu çoğu durumda daha doğru çözümdür. Çünkü tüm korumayı kapatmak yerine yalnızca gerçekten gerekli alanı dışarıda bırakmış olursunuz. Özellikle geliştirme ortamı, özel yazılım testi ya da büyük veri klasörleri gibi senaryolarda bu yaklaşım daha kontrollüdür. Tüm güvenlik katmanını indirmek yerine sorunun çıktığı noktayı hedeflersiniz.
Belki de asıl soru şudur: Siz gerçekten Defender’ı tamamen kapatmak mı istiyorsunuz, yoksa sadece belirli bir işlemde sizi engellememesini mi istiyorsunuz?
Sıkça Sorulan Sorular
Windows Defender’ı Ayarlar’dan kapatıyorum, neden geri açılıyor?
Microsoft’un resmi belgelerine göre Real-time protection kapatıldığında kısa süre sonra otomatik olarak yeniden açılır. Bu, korumayı sürdürmek için tasarlanmış normal davranıştır.
Tamper Protection ne işe yarar?
Tamper Protection, Microsoft Defender Antivirus ayarlarının kayıt defteri ve benzeri yollarla değiştirilmesini engellemeye yardımcı olur. Korunan ayarlardaki bazı değişiklikler bu özellik açıkken yok sayılabilir.
Grup İlkesi ile Defender neden kapanmıyor?
Tamper Protection açıksa, tamper-protected ayarlarda yapılan Grup İlkesi değişiklikleri yok sayılabilir. Microsoft ayrıca Tamper Protection’ın Grup İlkesi ile kapatılamayacağını belirtiyor.
Başka antivirüs kurarsam Defender kapanır mı?
Microsoft’un Windows Security belgesine göre başka bir antivirüs kurulduğunda Microsoft Defender Antivirus otomatik olarak devre dışı kalır. Ancak bazı kurumsal senaryolarda passive mode davranışı görülebilir.
Defender’ı tamamen kapatmak yerine ne yapmak daha mantıklı?
Birçok senaryoda tamamen kapatmak yerine exclusion tanımlamak daha doğru olur. Microsoft, Windows Security içinden dosya, klasör, uzantı ve işlem bazlı dışlama eklenebildiğini belgeliyor.
İletişim
Adres: 357. Cadde No: 14/H, 06200 Yenimahalle/Ankara
Telefon: 0312 335 77 99
E-posta: info@kontrolbilgisayar.com.tr
