wikinotes

Outils pour utilisateurs

Outils du site

Piste : 000_start installation-wf2510 ssh verifier_privileges systemes_de_fichiers 320_connexion_ssh desactiver_windows_defender fichier_dunder-init port-forwarding 000_start
sysadmin:windows:desactiver_windows_defender

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
sysadmin:windows:desactiver_windows_defender [2023/07/05 19:48] yoannsysadmin:windows:desactiver_windows_defender [2025/06/01 11:38] (Version actuelle) yoann
Ligne 1: Ligne 1:
-{{taq>sysadmin windows sécurité anti-virus}}+{{tag>sysadmin windows sécurité anti-virus}} 
  
  
 ====== Windows 10/11 : Désactiver Windows Defender ====== ====== Windows 10/11 : Désactiver Windows Defender ======
  
-La cmdlet **Get-MpComputerStatus** du module ''Defender'' retourne de nombreuses informations sur l'état de Windows Defender : +<note> 
 +Sur les version pro de Windows 10/11 la protection contre les falsifications (tamper protection) réactive systématiquement Windows Defender. La clé de registre **DisableAntiSpyware** n'est pas conservée. 
 +</note> 
 + 
 +===== Vérifier l'état des composants Windows Defender ===== 
 + 
 +Plusieurs services peuvent être contrôles : 
 +  * Microsoft Defender Antivirus Service (WinDefend) ; 
 +  * Windows Security Service (SecurityHealthService) ; 
 +  * Security Center (wscsvc). 
 + 
 +<code powershell> 
 +Get-Service Windefend, SecurityHealthService, wscsvc| Select Name,DisplayName, Status 
 +</code> 
 + 
 + 
 +==== Depuis la GUI ==== 
 + 
 +  Ouvrir le panneau de commande <key>Super</key> + <key>I</key> 
 +  Dans la zone de recherche saisir 'Protection contre les virus et les menaces' 
 +  * Dans la section 'Paramètres de protection contre les virus et les menacescliquer sur ''Gérer les paramètres''
 +  * Désactiver la protection temps réel ; 
 + 
 +<note> 
 +La désactivation via l'interface graphique est temporaire. 
 +</note> 
 + 
 +==== Depuis PowerShell ==== 
 + 
 +Les commandes de gestion de Microsoft Defender sous PowerShell sont regroupées dans le module Dedenfer : 
 + 
 +<code powershell> 
 +Get-Command -Module Defender 
 +</code> 
 + 
 +La cmdlet **Get-MpComputerStatus** retourne de nombreuses informations sur l'état de Windows Defender : 
  
 <code powershell> <code powershell>
-# vérifier l'état du service 
-Get-Service -Name WinDefend 
  
 # Status détaillé des composants Windows Defender # Status détaillé des composants Windows Defender
 Get-MpComputerStatus | Select-Object '*Enabled' Get-MpComputerStatus | Select-Object '*Enabled'
 +
 +
 +AMServiceEnabled          : True
 +AntispywareEnabled        : True
 +AntivirusEnabled          : True
 +BehaviorMonitorEnabled    : True
 +IoavProtectionEnabled     : True
 +NISEnabled                : True
 +OnAccessProtectionEnabled : True
 +RealTimeProtectionEnabled : True
 </code> </code>
  
-Après désactivation via la GUI+  * **AMServiceEnabled** décrit l'état du composant Anti-Malware 
 +  * **NISEnabled** décrit l'état du composant réseau Network Inspection System 
 +  * **IOAV** Analyse des fichiers téléchargés et pièces jointes 
 + 
 + 
 +<code powershell> 
 +# Vérifier si la protection contre les falsifications est active 
 +# (tamper protection) 
 +Get-MpComputerStatus | Select-Object RealTimeProtectionEnabled,IsTamperProtected | Format-List   
 +</code> 
 + 
 +<code powershell> 
 +# Stopper l'analyse temps réel jusqu'au prochain redémarrage 
 +Set-MpPreference -DisableRealtimeMonitoring $True 
 +Set-MpPreference -MAPSReporting 0​ 
 +</code> 
 + 
 +Après désactivation de la "protection temps réel" via la GUI 
 <code powershell> <code powershell>
 Get-MpComputerStatus | Select-Object '*Enabled' Get-MpComputerStatus | Select-Object '*Enabled'
Ligne 29: Ligne 91:
 </code> </code>
  
-  * **AMServiceEnabled** décrit l'état du composant Anti-Malware +==== Les Journaux ==== 
-  * **NISEnabled** décrit l'état du composant réseau Network Inspection System+ 
 +Le journal de l'application Windows Defender est disponible: 
 + 
 +  Ouvrir le gestionnaire de l'ordinateur ; 
 +  * Déployer **Observateur d'événements** > **Journaux des applications et des services** > **Microsoft** > **Windows** > **Windows Defender** > **Operational**.
  
  
Ligne 59: Ligne 125:
 </code> </code>
  
 +<note>
 +Le processus de protection logicielle (sppsvc) semble supprimer la valeur **DisableAntiSpyware** lorsqu'elle existe. Certains composant de Windows Defender sont alors relancés.
 +</note>
 +
 +Créer la clé si elle n'existe pas (ceci devra être fait depuis le mode sans échec):
 +  * **HKLM\SOFTWARE\Microsoft\Windows Defender**
 +  * Modifier les droits d'accès sur la clé : clic droit sur la clé sélectionner l'option ''Autorisations...''
 +    * Désactiver l'héritage : Bouton <key>Avancé</key> puis <key>Désactiver l'héritage</key> puis sélectionner l'option ''Convertir les autorisations héritées en autorisations explicites sur cet objet'' ;
 +    * Modifier le propriétaire : définir le groupe administrateurs et cocher ''Remplacer le propriétaire des sous conteneurs et des objets'' ;
 +    * Modifier les droits d'accès : seul administrateurs doit avoir le contrôle total les autre utilisateurs et Système doivent avoir seulement les droits en lecture ;
 +    * Cocher ''Remplacer toutes les entrées d'autorisation des objets enfant par des entrées d'autorisation pouvant être héritées de cet objet''
 +
 +Ajouter les valeurs suivantes de type DWORD 32 bits ayant pour valeur hexadécimale 0x01 :
 +
 +  * DisableAntiVirus
 +  * DisableAntiSpyware
 +  * ServiceStartStates
  
 ===== Stratégie de sécurité ===== ===== Stratégie de sécurité =====
 +
 +<note>
 +Sous Windows 10 la modification de la stratégie de sécurité ne conduit pas à la création de la valeur DWORD 32 bits **DisableAntiSpyware** dans le registre.
 +</note>
  
 ===== Références ===== ===== Références =====
  
-  * https://superuser.com/questions/1628749/how-to-check-windows-defender-status-via-the-command-line +  * [[https://learn.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/security-malware-windows-defender-disableantispyware|Usage de DisableAntiSpyware (Microsoft Learn)]] 
-  * https://social.technet.microsoft.com/wiki/contents/articles/52251.manage-windows-defender-using-powershell.aspx+  * [[https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide|Fonctionnement de la protection contre les falsifications ou tamper protection (Microsoft Learn)]] 
 +  * [[https://superuser.com/questions/1628749/how-to-check-windows-defender-status-via-the-command-line|Vérifier l'état de Windows Defender depuis la ligne de commande]] 
 +  * [[https://social.technet.microsoft.com/wiki/contents/articles/52251.manage-windows-defender-using-powershell.aspx|Gérer Windows Defender depuis PowerShell]]
   * https://windowsreport.com/fr/windows-11-desactiver-windows-defender/   * https://windowsreport.com/fr/windows-11-desactiver-windows-defender/
 +  * [[https://support.microsoft.com/fr-fr/windows/emp%C3%AAcher-la-modification-des-param%C3%A8tres-de-s%C3%A9curit%C3%A9-avec-la-protection-contre-les-falsifications-31d51aaa-645d-408e-6ce7-8d7f8e593f87|Désactiver la protection contre les falsifications]]
 +  * https://www.ubackup.com/fr/windows-11/windows-11-desactiver-windows-defender.html
 +  * https://theitbros.com/managing-windows-defender-using-powershell/
sysadmin/windows/desactiver_windows_defender.1688586491.txt.gz · Dernière modification : 2023/07/05 19:48 de yoann

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki