Windows 10/11 : Désactiver Windows Defender

Sur les version pro de Windows 10/11 la protection contre les falsifications (tamper protection) réactive systématiquement Windows Defender. La clé de registre DisableAntiSpyware n'est pas conservée.

Vérifier l'état des composants Windows Defender

Plusieurs services peuvent être contrôles :

Microsoft Defender Antivirus Service (WinDefend) ;
Windows Security Service (SecurityHealthService) ;
Security Center (wscsvc).

Get-Service Windefend, SecurityHealthService, wscsvc| Select Name,DisplayName, Status

Depuis la GUI

Ouvrir le panneau de commande Super + I
Dans la zone de recherche saisir 'Protection contre les virus et les menaces'
Dans la section 'Paramètres de protection contre les virus et les menaces' cliquer sur Gérer les paramètres ;
Désactiver la protection temps réel ;

La désactivation via l'interface graphique est temporaire.

Depuis PowerShell

Les commandes de gestion de Microsoft Defender sous PowerShell sont regroupées dans le module Dedenfer :

Get-Command -Module Defender

La cmdlet Get-MpComputerStatus retourne de nombreuses informations sur l'état de Windows Defender :

# Status détaillé des composants Windows Defender
Get-MpComputerStatus | Select-Object '*Enabled'
 
 
AMServiceEnabled          : True
AntispywareEnabled        : True
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IoavProtectionEnabled     : True
NISEnabled                : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

AMServiceEnabled décrit l'état du composant Anti-Malware
NISEnabled décrit l'état du composant réseau Network Inspection System
IOAV Analyse des fichiers téléchargés et pièces jointes

# Vérifier si la protection contre les falsifications est active
# (tamper protection)
Get-MpComputerStatus | Select-Object RealTimeProtectionEnabled,IsTamperProtected | Format-List

# Stopper l'analyse temps réel jusqu'au prochain redémarrage
Set-MpPreference -DisableRealtimeMonitoring $True
Set-MpPreference -MAPSReporting 0

Après désactivation de la “protection temps réel” via la GUI

Get-MpComputerStatus | Select-Object '*Enabled'
 
 
AMServiceEnabled          : True
AntispywareEnabled        : True
AntivirusEnabled          : True
BehaviorMonitorEnabled    : False
IoavProtectionEnabled     : False
NISEnabled                : False
OnAccessProtectionEnabled : False
RealTimeProtectionEnabled : False

Les Journaux

Le journal de l'application Windows Defender est disponible:

Ouvrir le gestionnaire de l'ordinateur ;
Déployer Observateur d'événements > Journaux des applications et des services > Microsoft > Windows > Windows Defender > Operational.

Édition du registre

Déployer :

HKEY_LOCAL_MACHINE > SOFTWARE > Policies > Microsoft > Windows Defender

Ajouter une nouvelle valeur de type DWORD 32bits ayant pour nom DisableAntiSpyware et valeur hexadécimale 0x1

Redémarre le système pour que la configuration prenne effet.

Après édition du registre et redémarrage, les composants de l'antivirus Windows Defender sont bien désactivés :

Get-MpComputerStatus | Select-Object '*Enabled'
 
 
AMServiceEnabled          : False
AntispywareEnabled        : False
AntivirusEnabled          : False
BehaviorMonitorEnabled    : False
IoavProtectionEnabled     : False
NISEnabled                : False
OnAccessProtectionEnabled : False
RealTimeProtectionEnabled : False

Le processus de protection logicielle (sppsvc) semble supprimer la valeur DisableAntiSpyware lorsqu'elle existe. Certains composant de Windows Defender sont alors relancés.

Créer la clé si elle n'existe pas (ceci devra être fait depuis le mode sans échec):

HKLM\SOFTWARE\Microsoft\Windows Defender
Modifier les droits d'accès sur la clé : clic droit sur la clé sélectionner l'option Autorisations…
- Désactiver l'héritage : Bouton Avancé puis Désactiver l'héritage puis sélectionner l'option Convertir les autorisations héritées en autorisations explicites sur cet objet ;
- Modifier le propriétaire : définir le groupe administrateurs et cocher Remplacer le propriétaire des sous conteneurs et des objets ;
- Modifier les droits d'accès : seul administrateurs doit avoir le contrôle total les autre utilisateurs et Système doivent avoir seulement les droits en lecture ;
- Cocher Remplacer toutes les entrées d'autorisation des objets enfant par des entrées d'autorisation pouvant être héritées de cet objet

Ajouter les valeurs suivantes de type DWORD 32 bits ayant pour valeur hexadécimale 0x01 :

DisableAntiVirus
DisableAntiSpyware
ServiceStartStates

Stratégie de sécurité

Sous Windows 10 la modification de la stratégie de sécurité ne conduit pas à la création de la valeur DWORD 32 bits DisableAntiSpyware dans le registre.

Table des matières