Come dettagliato qui su questo KB Microsoft pagina :
[...]By default, the system account is granted full control to all files on
an NTFS volume. Here the system account has the same functional
privileges as the administrator account.
Enfasi sulla mia.
Il servizio antimalware di Windows Defender viene eseguito con questo utente SYSTEM, essenzialmente dando al servizio l'accesso a tutto, inclusi tutti gli altri processi, indipendentemente dal fatto che siano in esecuzione con privilegi amministrativi o meno.
Se è ancora necessario accertarsi di cosa Windows Defender esegue la scansione in tempo reale, ho inviato una risposta a una domanda Super User qui che ti spiega come utilizzare Process Hacker per vedere quali file vengono letti dal servizio.
Process Hacker can be used to
view the files that are being scanned as well. Once installed, run the
program as an Administrator, or click Show details for all processes
in the Hacker dropdown menu.
From there, go to the Disk tab. All files that are being read or
written to will be displayed; any file in that list that says it is
being read by MsMpEng.exe (Defender's main executable) is being
scanned. It's easier to see what is being scanned if you paste
MsMpEng.exe
into the search bar at the top right of the window and
then click the File column to sort alphabetically, as this filters the
list so that only the files being scanned by Defender appear.