Différences

Ci-dessous, les différences entre deux révisions de la page.

--- sysadmin:windows:desactiver_windows_defender [2023/07/06 16:59] – yoann
+++ sysadmin:windows:desactiver_windows_defender [2025/06/01 11:38] (Version actuelle) – yoann
@@ Ligne 1: / Ligne 1: @@
-{{taq>sysadmin windows sécurité anti-virus}}
+{{tag>sysadmin windows sécurité anti-virus}}
 ====== Windows 10/11 : Désactiver Windows Defender ======
+<note>
+Sur les version pro de Windows 10/11 la protection contre les falsifications (tamper protection) réactive systématiquement Windows Defender. La clé de registre **DisableAntiSpyware** n'est pas conservée.
+</note>
 ===== Vérifier l'état des composants Windows Defender =====
+Plusieurs services peuvent être contrôles :
+  * Microsoft Defender Antivirus Service (WinDefend) ;
+  * Windows Security Service (SecurityHealthService) ;
+  * Security Center (wscsvc).
+<code powershell>
+Get-Service Windefend, SecurityHealthService, wscsvc| Select Name,DisplayName, Status
+</code>
 ==== Depuis la GUI ====
@@ Ligne 10: / Ligne 25: @@
   * Ouvrir le panneau de commande <key>Super</key> + <key>I</key>
   * Dans la zone de recherche saisir 'Protection contre les virus et les menaces'
-  * Dans la section 'Paramètres de protection contre les virus et les menaces' cliquer sur 'Gérer les paramètres'' ;
+  * Dans la section 'Paramètres de protection contre les virus et les menaces' cliquer sur ''Gérer les paramètres'' ;
   * Désactiver la protection temps réel ;
@@ Ligne 19: / Ligne 34: @@
 ==== Depuis PowerShell ====
-La cmdlet **Get-MpComputerStatus** du module ''Defender'' retourne de nombreuses informations sur l'état de Windows Defender :
+Les commandes de gestion de Microsoft Defender sous PowerShell sont regroupées dans le module Dedenfer :
+<code powershell>
+Get-Command -Module Defender
+</code>
+La cmdlet **Get-MpComputerStatus** retourne de nombreuses informations sur l'état de Windows Defender :
 <code powershell>
-# vérifier l'état du service
-Get-Service -Name WinDefend
 # Status détaillé des composants Windows Defender
@@ Ligne 43: / Ligne 62: @@
   * **IOAV** Analyse des fichiers téléchargés et pièces jointes
-Après désactivation via la GUI
+<code powershell>
+# Vérifier si la protection contre les falsifications est active
+# (tamper protection)
+Get-MpComputerStatus | Select-Object RealTimeProtectionEnabled,IsTamperProtected | Format-List
+</code>
+<code powershell>
+# Stopper l'analyse temps réel jusqu'au prochain redémarrage
+Set-MpPreference -DisableRealtimeMonitoring $True
+Set-MpPreference -MAPSReporting 0
+</code>
+Après désactivation de la "protection temps réel" via la GUI
 <code powershell>
@@ Ligne 59: / Ligne 91: @@
 </code>
+==== Les Journaux ====
+Le journal de l'application Windows Defender est disponible:
+  * Ouvrir le gestionnaire de l'ordinateur ;
+  * Déployer **Observateur d'événements** > **Journaux des applications et des services** > **Microsoft** > **Windows** > **Windows Defender** > **Operational**.
@@ Ligne 88: / Ligne 125: @@
 </code>
+<note>
+Le processus de protection logicielle (sppsvc) semble supprimer la valeur **DisableAntiSpyware** lorsqu'elle existe. Certains composant de Windows Defender sont alors relancés.
+</note>
+Créer la clé si elle n'existe pas (ceci devra être fait depuis le mode sans échec):
+  * **HKLM\SOFTWARE\Microsoft\Windows Defender**
+  * Modifier les droits d'accès sur la clé : clic droit sur la clé sélectionner l'option ''Autorisations...''
+    * Désactiver l'héritage : Bouton <key>Avancé</key> puis <key>Désactiver l'héritage</key> puis sélectionner l'option ''Convertir les autorisations héritées en autorisations explicites sur cet objet'' ;
+    * Modifier le propriétaire : définir le groupe administrateurs et cocher ''Remplacer le propriétaire des sous conteneurs et des objets'' ;
+    * Modifier les droits d'accès : seul administrateurs doit avoir le contrôle total les autre utilisateurs et Système doivent avoir seulement les droits en lecture ;
+    * Cocher ''Remplacer toutes les entrées d'autorisation des objets enfant par des entrées d'autorisation pouvant être héritées de cet objet''
+Ajouter les valeurs suivantes de type DWORD 32 bits ayant pour valeur hexadécimale 0x01 :
+  * DisableAntiVirus
+  * DisableAntiSpyware
+  * ServiceStartStates
 ===== Stratégie de sécurité =====
+<note>
+Sous Windows 10 la modification de la stratégie de sécurité ne conduit pas à la création de la valeur DWORD 32 bits **DisableAntiSpyware** dans le registre.
+</note>
 ===== Références =====
+  * [[https://learn.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/security-malware-windows-defender-disableantispyware|Usage de DisableAntiSpyware (Microsoft Learn)]]
+  * [[https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide|Fonctionnement de la protection contre les falsifications ou tamper protection (Microsoft Learn)]]
   * [[https://superuser.com/questions/1628749/how-to-check-windows-defender-status-via-the-command-line|Vérifier l'état de Windows Defender depuis la ligne de commande]]
   * [[https://social.technet.microsoft.com/wiki/contents/articles/52251.manage-windows-defender-using-powershell.aspx|Gérer Windows Defender depuis PowerShell]]
   * https://windowsreport.com/fr/windows-11-desactiver-windows-defender/
+  * [[https://support.microsoft.com/fr-fr/windows/emp%C3%AAcher-la-modification-des-param%C3%A8tres-de-s%C3%A9curit%C3%A9-avec-la-protection-contre-les-falsifications-31d51aaa-645d-408e-6ce7-8d7f8e593f87|Désactiver la protection contre les falsifications]]
+  * https://www.ubackup.com/fr/windows-11/windows-11-desactiver-windows-defender.html
+  * https://theitbros.com/managing-windows-defender-using-powershell/

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page