eliminare cronologia sicurezza windows

[swan_x]

Buongiorno a tutti, e mentre ci siamo anche Buon Natale a tutti!
finalmente dopo la mia precedente discussione qui https://www.hwupgrade.it/forum/showthread.php?t=2989793 ho installato su mio "nuovo" notebook tramite win update prima l'update a win10 22H2 e poi ho fatto l'aggiornamento a win11 23H2 lasciando perdere il discorso Tiny11Builder. dico win update ma in realtà siccome non mi veniva proposto, ho utilizzato l'utility di microsoft Assistente per l'installazione di Windows 11

Ma veniamo ad oggi. inizialmente vorrei eliminare la cronologia delle "minacce" rilevate da sicurezza di win, ma questo ad oggi sembra impossibile.
ho letto e provato di tutto, da powershell a mod provvisoria (ma anche qui la cartella che contiene i vari log è bloccata), a vari unlocker, ma anche da visualizzatore eventi - win defender - cancella registro (da qui tutto risulta pulito ma poi da sicurezza windows le voci in cronologia sono sempre presenti ...)

Quindi partendo dal presupposto che vorrei eliminare la cronologia (e quindi chiedo a voi come fare), vorrei anche un suggerimento x una live da avviare da pendrive in modo da avere un semplice esplora risorse che mi permetta di eliminare la cartella da prog data che contiene i log della cronologia.
inoltre l'ottimo Aomei Backupper permette di creare da system recovery sia un boot da C (in alternativa a windows) sia anche una pendrive con una live di linux. ma creata la pendrive di linux tramite rufus, poi dalla modalità riavvio, scelta la pendrive UEFI x il boot mi dice che la pendrive non contiene un boot UEFI e quindi non è possibile avviare il pc da pendrive, e quindi posso riavviare solo da C: ...

concludo con un riepilogo di quello che vorrei da voi sapere:

1) come eliminare la cronologia di sicurezza di windows
2) una live da avviare da pendrive che abbia un semplice esplora risorse
3) perchè la pendrive con iso linux di aomei non si avvia da boot

grazie a tutti e un saluto

[Styb]

Qualche giorno fa risposi ad una domanda analoga e postai il link di una guida per eliminare la cronologia di defender che ha funzionato a vari utenti e anche a me: https://turbolab.it/sicurezza-13/win...are-virus-2052

Un esplora file molto semplice è presente nel supporto di avvio di macrium reflect.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da swan_x

1) come eliminare la cronologia di sicurezza di windows

Ha già risposto l'utente Styb.

Quote:

2) una live da avviare da pendrive che abbia un semplice esplora risorse

Qualunque distribuzione di Linux che abbia funzionamento in modalità "live". Cioè praticamente le più comuni: Mint, Ubuntu, Fedora, OpenSuse ecc.
Oppure se vuoi restare su Windows, Hiren’s BootCD PE:
https://www.hirensbootcd.org/

Tieni comunque presente che con una live di Windows potresti avere qualche problema a superare i blocchi dei permessi NTFS, Linux solitamente se ne impippa e ti fa fare di tutto su NTFS.

Quote:

3) perchè la pendrive con iso linux di aomei non si avvia da boot

Boh... perché probabilmente non ha il supporto per i sistemi UEFI, presumo. Ma c'è la versione Windows che ce l'ha di sicuro e comunque sarebbe meglio postare questa domanda nella sezione programmi dove c'è un Thread Ufficiale su Aomei Backupper dove è probabile ricevere risposte più esatte.


EDIT: eh sì, sembra proprio così:

Note: Linux bootable media does not support for EFI/UEFI boot, if your computer boot mode is UEFI mode, you need to enter into BOIS to change the BIOS boot mode from UEFI to Legacy Boot Mode like the following snapshot (you may also learn how to change the setting by referring to the manual of your motherboard).

https://www.ubackup.com/features/cre...able-disc.html

[swan_x]

mi spiace Styb, ma ho già provato questa soluzione (già trovata da me in rete).
avvio da msconfig in mod provvisoria non permette comunque di eliminare la cartella che contiene i log ... (x questo ho chiesto una live da avviare come esplora risorse e provare ad eliminare da li la cartella in questione)

e un grazie anche a Nicodemo. in effetti la iso linux che crea aomei è di soli 48Mb, dubitavo funzionasse bene anche x UEFI ... e da aomei ho creato la iso e poi messa su pendrive con rufus poichè da una precedente versione di aomei che ho su win7 (la 7.1.2) mi dava un problema nella creazione della pendrive avviabile: ossia partiva la creazione ma poi rimaneva bloccato il processo. quindi ho creato la iso (semplice di linux, non ho provato la winPE perchè dovevo scaricare qualcosa di molto pesante, 400MB circa e quindi ho optato x la semplice di linux) e poi l'ho messa su pendrive tramite rufus.
ma ora dopo il tuo sempre ottimo consiglio, proverò a rifarla con la nuova versione 7.3.3 sia la linux version sia la winPE.

nel caso proverò le altre opzioni che hai menzionato nel tuo post.
grazie a tutti x le risposte, sempre ottime

[swan_x]

Quote:

Originariamente inviato da Styb

Un esplora file molto semplice è presente nel supporto di avvio di macrium reflect

mi sai indicare un link ? è una ISO da mettere su pendrive con rufus ?
o devo scaricare il programma e creare da li la pendrive bootable ? vorrei evitare questo, ho scelto aomei e non vorrei installare inutilmente un altro programma simile ...

[Unax]

questo metodo non funziona più?

https://www.youtube.com/watch?v=bB5QhQ8Db8k

il percorso dovrebbe essere questo
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
ma bisogna attivare file nascosti

[swan_x]

Unax no, purtroppo il metodo non funziona più
questo metodo lo si trova ovunque. se funzionasse ancora questo thread non avrebbe avuto senso
purtroppo microsoft fa sempre di più quello che vuole. e trovato un sistema per eliminare l'inutile cronologia, è già stato superato da microsoft ... mi chiedo perchè poi non esista un semplice sistema x eliminare questa cronologia, che nel mio caso segnala come "dannosi" alcuni programmi che uso da anni e del tutto sicuri e testati
avevo anche letto in giro che l'app dovrebbe eliminare in automatico le voci superati i 10 giorni. ma anche questo è ormai obsoleto e superato, dato che io ho voci del 12 dicembre e che ad oggi non dovrebbero più esserci, e invece sono ancora presenti

[Unax]

Quote:

Originariamente inviato da swan_x

Unax no, purtroppo il metodo non funziona più
questo metodo lo si trova ovunque. se funzionasse ancora questo thread non avrebbe avuto senso
purtroppo microsoft fa sempre di più quello che vuole. e trovato un sistema per eliminare l'inutile cronologia, è già stato superato da microsoft ... mi chiedo perchè poi non esista un semplice sistema x eliminare questa cronologia, che nel mio caso segnala come "dannosi" alcuni programmi che uso da anni e del tutto sicuri e testati
avevo anche letto in giro che l'app dovrebbe eliminare in automatico le voci superati i 10 giorni. ma anche questo è ormai obsoleto e superato, dato che io ho voci del 12 dicembre e che ad oggi non dovrebbero più esserci, e invece sono ancora presenti

io nell'elenco ho roba dell'agosto 2021

[Nicodemo Timoteo Taddeo]

Provate questi script (un comune file .bat in realtà) che promettono la cancellazione eseguita come TrustedInstaller

https://github.com/LesFerch/ClearDefenderHistory

È codice in chiaro non è un eseguibile, non dovrebbero esserci problemi di sicurezza.

Da me ha funzionato.

[swan_x]

grazie, l'ottimo github fornisce sempre incredibili e superlative alternative! non avevo (ancora) pensato di cercare li una soluzione. grazie x il consiglio, Nicodemo

Ma tornando ad Aomei ho voluto provare (sempre creando la iso da mettere poi su pendrive con rufus) a creare la iso con winPE nella speranza che magari in avvio avesse un esplora risorse come mi avete indicato ha Reflect

La prima iso l'ho creata selezionando winPE ma SENZA IL DOWNLOAD e mi ha creato una iso da 1.4GB
ma siccome avevo un problema di boot, ho creato in seguito un'altra iso winPE CON DOWNLOAD di winPE, e questa volta la iso è solo di 580MB

ma con entrambe le iso, messe su pendrive con rufus, il mio notebook non vede la pendrive come boot, proponendo quindi solo l'avvio d disco rigido del pc. allego foto qui sotto del problema in questione

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da swan_x

Ma tornando ad Aomei ho voluto provare (sempre creando la iso da mettere poi su pendrive con rufus) a creare la iso con winPE nella speranza che magari in avvio avesse un esplora risorse come mi avete indicato ha Reflect

No non ce l'ha, sarebbe tempo perso se non fosse che se vuoi usare Aomei Backupper una chiavetta di boot devi farla per forza perché è il salvagente nel caso il sistema operativo non parta del tutto, l'unica maniera per ripristinare il backup.

Quote:

La prima iso l'ho creata selezionando winPE ma SENZA IL DOWNLOAD e mi ha creato una iso da 1.4GB
ma siccome avevo un problema di boot, ho creato in seguito un'altra iso winPE CON DOWNLOAD di winPE, e questa volta la iso è solo di 580MB

Non capisco perché devi fare il "creativo"

Aomei Backupper consente di creare direttamente la chiavetta USB di boot adatta al tuo computer, non si vede il motivo per cui devi passare per forza da .iso e Rufus. Quest'ultimo se non saputo adoperare può creare qualche intoppo, se possibile farne a meno perché no?

Fai creare la chiavetta USB da Aomei e poi provala. Meglio se gli dai una chiavetta diversa da quella sia mai che fosse lei malfunzionante. Poi se continuano ad esserci problemi ne riparliamo ma bisogna seguire le modalità preferenziali previste dal produttore:

https://www.ubackup.com/help/create-bootable-disk.html

[swan_x]

ok forse hai ragione. ora provo a creare la pendrive con winPE direttamente su pendrive

comunque ho provato il bat di github e a me non funziona. avvio come admin, rimane per un pò bloccato come figura qui sotto, poi si chiude il cmd
vado in win defender e la cronologia è sempre li, come prima ...

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da swan_x

ok forse hai ragione. ora provo a creare la pendrive con winPE direttamente su pendrive

comunque ho provato il bat di github e a me non funziona. avvio come admin, rimane per un pò bloccato come figura qui sotto, poi si chiude il cmd
vado in win defender e la cronologia è sempre li, come prima ...

Tutto molto strano, è vero che io l'ho usato su Windows 10 ma dovrebbe essere pienamente compatibile con 11, il suo autore lo ha scritto su tensforum, dove avevo preso l'info:

"I wrote the script on 11, but it works the same. "
https://www.tenforums.com/antivirus-...ml#post2561559

Che versione di Windows 11 hai'? La 23H2 o sei ad una più vecchia (22H2 o 21H2)?

Ad ogni modo ci sarebbe anche DefenderUI che tra le sue funzionalità avrebbe anche quella di cancellare la cronologia. Post n° #28 del link che ho pubblicato sopra.


ps. prova a lanciare il .bat dal power shell aperto come amministratore. Dovresti trovare il modo di farlo cliccando su una freccetta accanto a + sulla cornice superiore del terminale. In altre parole, apri il terminale come amministratore, clicca sulla freccetta in alto accanto a + sulla cornice superiore della finestra, scegli power shell. Trascina l'icona di ClearDefenderHistory.bat dentro questa finestra e una volta che appare clicca su invio. Vedi che succede così, sto andando a tentativi non ho 11 sotto mano.

ps. stai eseguendo con il file .bat estratto dallo zip vero? Non è che stai cercando di avviarlo senza averlo prima estratto?

[swan_x]

ok proverò da powershell
io ho win11 23H2 come detto nel mio primo post

comunque aomei se crea la pendrive con winPE (senza download) funziona!
invece se fatta la iso e poi passata a rufus non si avviava
e cmque hai ragione, esplora risorse non è presente

ora provo con powershell. anche se io ho usato cdm come admin e avendo powershell aggiornato all'ultima rel (la 7.4) dovrebbe essere la stessa cosa. ma invece da cmd non funziona

[swan_x]

provato da powershell (come admin): con un drag&drop del file bat non succede nulla e dopo 1 secondo ho nuovamente la scritta C:\user di powershell come se non fosse successo nulla ...

e invece vado in sicurezza di win e .... magia! cronologia sparita!
quindi il file bat funziona bene, anche su win11, a patto di non eseguire solo il bat (che parte in cmd) ma eseguirlo invece da powershell
e inoltre confermo: il bat, come i suggerimenti precedente trovati in rete, elimina l'intera cartella C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service

x la mia iso che volevo, con un semplice esplora risorse: proverò a breve macrium, giusto x creare una iso e fare un avvio da pendrive x vedere come funziona.
nel frattempo voglio segnalare l'ottimo sito Ankhtech che contiene diverse iso pronte all'uso
io ho provato si mio w11 la semplice Emergency iso (di soli 800MB) e la Windows 10 PE che contiene in fase di boot da pendrive 2 sistemi, uno full e uno mini con più o meno programmi. io ho provato la versione mini, funziona bene e ci sono anche un sacco di programmini utili come notepad, esplora, aomei backupper, aomei disk partition, true image e altri (la lista completa la trovate sul sito stesso)

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da swan_x

provato da powershell (come admin): con un drag&drop del file bat non succede nulla e dopo 1 secondo ho nuovamente la scritta C:\user di powershell come se non fosse successo nulla ...

Infatti non succede nulla, si chiude la finestra e finito tutto. Poi vai a vedere e trovi la cronologia sparita.

Quote:

x la mia iso che volevo, con un semplice esplora risorse: proverò a breve macrium, giusto x creare una iso e fare un avvio da pendrive x vedere come funziona.

Tu ami complicarti al vita inutilmente , Macrium Reflect è un programma analogo ad Aomei installarlo solo per farne la chiavetta USB ed usare il suo file manager è del tutto sproporzionato.

Come scrissi prima in rete sono disponibili centinaia di .iso di distribuzioni Linux con funzionamento di tipo "live", che ti consentono di poter fare tutto sulle partizioni NTFS. Ed esistono anche tante versioni "live" di Windows, ho indicato prima quella più conosciuta, Hirens BootCD, al suo interno troverai un sacco di programmi tra cui l'esplora file che desideravi avere.

Quote:

nel frattempo voglio segnalare l'ottimo sito Ankhtech che contiene diverse iso pronte all'uso
io ho provato si mio w11 la semplice Emergency iso (di soli 800MB) e la Windows 10 PE che contiene in fase di boot da pendrive 2 sistemi, uno full e uno mini con più o meno programmi. io ho provato la versione mini, funziona bene e ci sono anche un sacco di programmini utili come notepad, esplora, aomei backupper, aomei disk partition, true image e altri (la lista completa la trovate sul sito stesso)

Appunto, che senso ha installare su Windows un programma invasivo come Macrium Reflect se puoi fare diversamente senza installare niente?

[Unax]

ho provato lo script di github

funziona ma solo in parte nel senso che rimangono ancora parti di cronologia relative alla protezione ransomware, io ho attivato anche quella cosa nel mio defender

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da Unax

ho provato lo script di github

funziona ma solo in parte nel senso che rimangono ancora parti di cronologia relative alla protezione ransomware, io ho attivato anche quella cosa nel mio defender

Io lo tengo disattivato per cui non me ne sono accorto.

Potresti provare con DefenderUI che tra le tante funzionalità per rendere più semplice gestire Windows Defender ha anche quella denominata "cancella e ripara la cronologia di protezione", magari è programmata per rimuovere anche quelle voci che staranno chissà dove...

https://www.defenderui.com/
https://www.ilsoftware.it/come-migli...windows_23697/
https://turbolab.it/sicurezza-13/ges...efenderui-3655

[swan_x]

nuovo problema: ho voluto provare reflect ultima rel home edition. tutto funziona, ma quando sono andato in Rescue per creare la pendrive avviabile mi dice che la mia pendrive non è supportata (vedi shot sotto)
la stessa pendrive, una lexar da 32GB, l'ho usata con aoemi come boot e ha funzionato bene. lo stesso vale x diverse iso che ho provato x il boot da pendrive ... x scrupolo ho anche formattato la pendrive tramite Rufus dando partizione non MBR (come era selezionato di default) ma GPT (dato l'errore che segnalava Reflect). ma nulla, Reflect non ne vuole sapere della mia pendrive. suggerimenti ?

[swan_x]

comunque ho risolto tramite creazione della iso e poi messa su pendrive con Rufus. in un primo avvio ho avuto lo stesso problema che si vede nello shot del mio post#10 e grazie a questo ho capito il problema: quando si scrive una iso con Rufus si può scegliere tra una partizione MBR (quella che a me si proponeva di default) e che dà errore in avvio con UEFI, ma si può scegliere ANCHE tra un altro metodo di partizione della pendrive in GPT e questo con UEFI non dà il problema in avvio come nel post#10 e tutto funziona bene!


sono invece rimasto senza parole quando finalmente avviato il pc da pendrive, vado a fare una simulazione di ripristino, quindi cerco l'immagine creata in precedenza e messa in una partizione F: e reflect non la vede !! incredibile !
sarà x il fatto che l'ho rinominata a mio piacere dopo la creazione? davvero strano e comunque se avvio Reflect da pc in windows, e tento un ripristino, cerco la mia immagine in F: e da qui Reflect la vede come dovrebbe senza problemi. solo con Reflect da pendrive la iso creata non viene rilevata ... tutte a me capitano le cose "strane" ....