我完全理解你想借助windowsdefender://协议在批处理脚本里直接控制篡改保护的需求——毕竟用start windowsdefender://enablertp/一键启用实时保护这种操作确实很便捷。

不过很遗憾地告诉你，目前微软并没有公开windowsdefender://协议下用于控制篡改保护的具体URI方案，你尝试过的windowsdefender://enabletp/、windowsdefender://enablerttp/这类自定义路径都不在官方支持的范围内。而且从设计逻辑上来说，篡改保护本身就是为了防止恶意程序（甚至合法脚本）随意修改Defender的核心防护设置，它限制了通过常规脚本直接修改的操作，哪怕你拥有管理员权限也无法绕过。

既然你的最终目标是让这条PowerShell命令能正常运行：

Set-MpPreference -Force -DisableRealtimeMonitoring $true

这里给你两个可行的官方解决方案：

• 通过组策略配置：打开组策略编辑器，导航到计算机配置 > 管理模板 > Windows组件 > Microsoft Defender防病毒 > Microsoft Defender Exploit Guard > 篡改保护，将其设置为已禁用
• 通过MDM（比如Intune）配置：在企业设备管理平台中找到对应的Defender篡改保护配置项，批量设置为关闭状态

需要注意的是，篡改保护的设置变更需要重启系统才能生效，之后你的PowerShell命令就能顺利禁用实时监控了。

备注：内容来源于stack exchange，提问作者OW2 Is Trash