{{taq>sysadmin windows sécurité anti-virus}}
====== Windows 10/11 : Désactiver Windows Defender ======
Sur les version pro de Windows 10/11 la protection contre les falsifications (tamper protection) réactive systématiquement Windows Defender. La clé de registre **DisableAntiSpyware** n'est pas conservée.
===== Vérifier l'état des composants Windows Defender =====
Plusieurs services peuvent être contrôles :
* Microsoft Defender Antivirus Service (WinDefend) ;
* Windows Security Service (SecurityHealthService) ;
* Security Center (wscsvc).
Get-Service Windefend, SecurityHealthService, wscsvc| Select Name,DisplayName, Status
==== Depuis la GUI ====
* Ouvrir le panneau de commande Super + I
* Dans la zone de recherche saisir 'Protection contre les virus et les menaces'
* Dans la section 'Paramètres de protection contre les virus et les menaces' cliquer sur ''Gérer les paramètres'' ;
* Désactiver la protection temps réel ;
La désactivation via l'interface graphique est temporaire.
==== Depuis PowerShell ====
Les commandes de gestion de Microsoft Defender sous PowerShell sont regroupées dans le module Dedenfer :
Get-Command -Module Defender
La cmdlet **Get-MpComputerStatus** retourne de nombreuses informations sur l'état de Windows Defender :
# Status détaillé des composants Windows Defender
Get-MpComputerStatus | Select-Object '*Enabled'
AMServiceEnabled : True
AntispywareEnabled : True
AntivirusEnabled : True
BehaviorMonitorEnabled : True
IoavProtectionEnabled : True
NISEnabled : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True
* **AMServiceEnabled** décrit l'état du composant Anti-Malware
* **NISEnabled** décrit l'état du composant réseau Network Inspection System
* **IOAV** Analyse des fichiers téléchargés et pièces jointes
# Vérifier si la protection contre les falsifications est active
# (tamper protection)
Get-MpComputerStatus | Select-Object RealTimeProtectionEnabled,IsTamperProtected | Format-List
# Stopper l'analyse temps réel jusqu'au prochain redémarrage
Set-MpPreference -DisableRealtimeMonitoring $True
Set-MpPreference -MAPSReporting 0
Après désactivation de la "protection temps réel" via la GUI
Get-MpComputerStatus | Select-Object '*Enabled'
AMServiceEnabled : True
AntispywareEnabled : True
AntivirusEnabled : True
BehaviorMonitorEnabled : False
IoavProtectionEnabled : False
NISEnabled : False
OnAccessProtectionEnabled : False
RealTimeProtectionEnabled : False
==== Les Journaux ====
Le journal de l'application Windows Defender est disponible:
* Ouvrir le gestionnaire de l'ordinateur ;
* Déployer **Observateur d'événements** > **Journaux des applications et des services** > **Microsoft** > **Windows** > **Windows Defender** > **Operational**.
===== Édition du registre =====
Déployer :
HKEY_LOCAL_MACHINE > SOFTWARE > Policies > Microsoft > Windows Defender
Ajouter une nouvelle valeur de type DWORD 32bits ayant pour nom **DisableAntiSpyware** et valeur hexadécimale 0x1
Redémarre le système pour que la configuration prenne effet.
Après édition du registre et redémarrage, les composants de l'antivirus Windows Defender sont bien désactivés :
Get-MpComputerStatus | Select-Object '*Enabled'
AMServiceEnabled : False
AntispywareEnabled : False
AntivirusEnabled : False
BehaviorMonitorEnabled : False
IoavProtectionEnabled : False
NISEnabled : False
OnAccessProtectionEnabled : False
RealTimeProtectionEnabled : False
Le processus de protection logicielle (sppsvc) semble supprimer la valeur **DisableAntiSpyware** lorsqu'elle existe. Certains composant de Windows Defender sont alors relancés.
Créer la clé si elle n'existe pas (ceci devra être fait depuis le mode sans échec):
* **HKLM\SOFTWARE\Microsoft\Windows Defender**
* Modifier les droits d'accès sur la clé : clic droit sur la clé sélectionner l'option ''Autorisations...''
* Désactiver l'héritage : Bouton Avancé puis Désactiver l'héritage puis sélectionner l'option ''Convertir les autorisations héritées en autorisations explicites sur cet objet'' ;
* Modifier le propriétaire : définir le groupe administrateurs et cocher ''Remplacer le propriétaire des sous conteneurs et des objets'' ;
* Modifier les droits d'accès : seul administrateurs doit avoir le contrôle total les autre utilisateurs et Système doivent avoir seulement les droits en lecture ;
* Cocher ''Remplacer toutes les entrées d'autorisation des objets enfant par des entrées d'autorisation pouvant être héritées de cet objet''
Ajouter les valeurs suivantes de type DWORD 32 bits ayant pour valeur hexadécimale 0x01 :
* DisableAntiVirus
* DisableAntiSpyware
* ServiceStartStates
===== Stratégie de sécurité =====
Sous Windows 10 la modification de la stratégie de sécurité ne conduit pas à la création de la valeur DWORD 32 bits **DisableAntiSpyware** dans le registre.
===== Références =====
* [[https://learn.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/security-malware-windows-defender-disableantispyware|Usage de DisableAntiSpyware (Microsoft Learn)]]
* [[https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide|Fonctionnement de la protection contre les falsifications ou tamper protection (Microsoft Learn)]]
* [[https://superuser.com/questions/1628749/how-to-check-windows-defender-status-via-the-command-line|Vérifier l'état de Windows Defender depuis la ligne de commande]]
* [[https://social.technet.microsoft.com/wiki/contents/articles/52251.manage-windows-defender-using-powershell.aspx|Gérer Windows Defender depuis PowerShell]]
* https://windowsreport.com/fr/windows-11-desactiver-windows-defender/
* [[https://support.microsoft.com/fr-fr/windows/emp%C3%AAcher-la-modification-des-param%C3%A8tres-de-s%C3%A9curit%C3%A9-avec-la-protection-contre-les-falsifications-31d51aaa-645d-408e-6ce7-8d7f8e593f87|Désactiver la protection contre les falsifications]]
* https://www.ubackup.com/fr/windows-11/windows-11-desactiver-windows-defender.html
* https://theitbros.com/managing-windows-defender-using-powershell/