Discussion :

[Bill Fassinou]

Microsoft déclare qu'il ne permettra pas de désactiver Windows Defender via le registre
pour prendre en charge une fonctionnalité de sécurité appelée "Tamper Protection"

Avec la sortie de la version 1903 de Windows 10, Microsoft a mis en place une nouvelle fonctionnalité de sécurité appelée “Tamper Protection”. Elle permet de protéger les paramètres de sécurité de Windows Defender contre une désactivation par des logiciels malveillants ou des programmes tiers. Tamper Protection n’était pas encore supporté, mais Microsoft vient d’annoncer son intention de le faire. Il a déclaré qu'il ne permettra plus de désactiver Windows Defender via le registre de Windows 10 afin de prendre en charge cette fonction de sécurité.

Defender ne sera désormais désactivé qu’à partir des paramètres de Windows ou quand un autre programme antivirus est installé sur le PC. En effet, l’entreprise estime que lors de certains types de cyberattaques, les attaquants tentent de désactiver les fonctionnalités de sécurité, comme la protection antivirus, sur vos machines. Ils le font pour accéder facilement à vos données, installer des logiciels malveillants ou pour exploiter d'une autre manière vos données, votre identité et vos appareils. Pour éviter que cela ne se produise, Microsoft a donc conçu Tamper Protection.

Tamper Protection empêche les applications malveillantes d’initier des actions telles que : la désactivation de la protection contre les virus et les diverses menaces, la désactivation de la protection en temps réel et la surveillance du comportement, la désactivation de l'antivirus, etc. Cela les empêche également de désactiver la protection fournie par le cloud ou de supprimer des mises à jour des données de sécurité. Pour y arriver, cette fonction verrouille essentiellement Defender et fait obstacle à l’utilisation de toute méthode servant à modifier vos paramètres de sécurité.

Lorsque Tamper Protection est activé, il bloque la configuration des paramètres dans l'éditeur de registre sur votre machine Windows, il évite également le changement des paramètres grâce aux cmdlets PowerShell et empêche la modification ou la suppression des paramètres de sécurité par le biais des politiques de groupe. Selon Microsoft, cette fonctionnalité fait maintenant partie intégrante de l'environnement de sécurité de Windows 10, et vous devez l'activer pour une protection accrue contre les logiciels malveillants et les programmes malveillants.

Pour rappel, Windows Defender pouvait être désactivé en utilisant la stratégie de groupe “Désactiver l'antivirus Microsoft Defender”. Une fois que cette stratégie de groupe est activée, la valeur DisableAntiSpyware est créée dans le registre. Ensuite, cette valeur du registre est fixée à 1 sous
HKEY_LOCAL_MICHINE/SOFTWARE/Politiques/Microsoft/WindowsDefender. Une fois que cette clé est activée, elle désactivera l'antivirus Defender et les logiciels de sécurité tiers ainsi que les applications. Cela ne sera plus possible avec Tamper Protection.

En outre, Tamper Protection ne vous empêche pas de consulter vos paramètres de sécurité. Cela dit, les paramètres de Defender peuvent être désormais modifiés seulement via le panneau “Paramètres de sécurité”. De plus, l’entreprise confirme que Tamper Protection n'affecte pas la façon dont les applications antivirus tierces s'enregistrent avec Defender. Enfin, si votre organisation utilise Windows 10 Enterprise E5, les utilisateurs individuels ne vont pas pouvoir modifier les paramètres de Tamper Protection. Selon Microsoft, ce paramètre est géré par votre équipe de sécurité.

Activer (ou désactiver) la protection contre les manipulations pour une machine individuelle

Si vous êtes un utilisateur à domicile, ou si vous n'êtes pas soumis à des paramètres de sécurité gérés par une équipe de sécurité, vous pouvez utiliser l'application Windows Security pour activer ou désactiver Tamper Protection. Toutefois, avant de pouvoir l’activer, vous devez disposer des autorisations d'administration appropriées sur votre machine.

• cliquez sur Démarrer, et commencez à taper Defender. Dans les résultats de la recherche,
• sélectionnez Sécurité Windows ;
• sélectionnez Protection contre les virus et les menaces > Paramètres de protection contre les virus et les menaces ;
• activez ou désactivez Tamper Protection.

Activer (ou désactiver) la protection contre les manipulations pour votre organisation en utilisant Intune

Si vous faites partie de l'équipe de sécurité de votre organisation, et que votre abonnement inclut Intune, vous pouvez activer (ou désactiver) Tamper Protection pour votre organisation en vous rendant dans le centre d'administration de Microsoft Endpoint Manager. Vous devez disposer des autorisations appropriées, telles que “global admin”, “security admin” ou “security operations”, pour effectuer la tâche. Outre ce fait, vous devez assurer que votre organisation répond à certaines exigences pour gérer Tamper Protection à l'aide d'Intune.

• votre organisation doit utiliser Intune pour gérer les dispositifs ;
• vos machines Windows doivent fonctionner sous Windows 10 OS 1709, 1803, 1809 ou plus récent ;
• vous devez utiliser la sécurité de Windows avec "security intelligence" mise à jour à la version 1.287.60.0 (ou supérieure) ;
• vos machines doivent utiliser la plateforme anti-malware v4.18.1906.3 (ou supérieure) et le moteur anti-malware v1.1.15500.X (ou supérieure) ;
• rendez-vous dans le centre d'administration de Microsoft Endpoint Manager et connectez-vous avec votre compte professionnel ou scolaire ;
• sélectionnez Dispositifs > Profils de configuration ;
• créez un profil ;
• attribuer le profil à un ou plusieurs groupes.

Si vous utilisez Windows 10 OS 1709, 1803 ou 1809, vous ne verrez pas Tamper Protection dans l'application de sécurité de Windows. Dans ce cas, vous pouvez utiliser PowerShell pour voir si Tamper Protection est activée sur votre machine. Pour cela :

• ouvrez l'application Windows PowerShell ;
• utilisez la cmdlet PowerShell Get-MpComputerStatus ;
• dans la liste des résultats, cherchez IsTamperProtected. La true signifie que Tamper Protection est activée.

Source : Microsoft

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Chrome 86 bêta apporte deux fonctionnalités pour améliorer l'expérience utilisateur et développeur sur le focus, ainsi que les méta-balises d'économie de batterie

Chrome 85 pour Android va ajouter un DNS sécurisé pour une navigation plus sûre et plus privée, une fonctionnalité basée sur DNS-over-HTTPS, annonce Google

Microsoft annonce la disponibilité générale de Windows Defender ATP, son antivirus pour Windows 10, pour les serveurs Linux et le lancement d'une préversion publique pour Android

Antivirus : Windows Defender serait maintenant l'une des meilleures applications antivirus au monde, selon AV-TEST

Une nouvelle extension de Windows Defender Application Guard pour Chrome et Firefox ouvre des sites non approuvés dans Microsoft Edge

[Etre_Libre]

Bonjour,

L'astuce est bonne à savoir pour les personnes qui ne se sont pas tenues au courant, car ce n'est pas nouveau en effet, minimum plusieurs mois.

Je ne comprends pas juste une chose dans le titre "Microsoft déclare qu'il ne permettra pas de désactiver Windows Defender via le registre", pourquoi écrire "permettra" alors que c'est déjà le cas au présent, depuis plusieurs versions de Windows ?

Merci en tout cas de votre partage, ça aidera sûrement des utilisateurs avancés

PS : si on veut désactiver Defender depuis un WinPE, c'est par contre possible, car on peut à la fois écrire la valeur de registre qui désactive "Tamper Protection" puis la 2ème clé qui désactive Defender.

[TheDarkgg]

Bonjour,

Je ne comprends pas juste une chose dans le titre "Microsoft déclare qu'il ne permettra pas de désactiver Windows Defender via le registre", pourquoi écrire "permettra" alors que c'est déjà le cas au présent, depuis plusieurs versions de Windows ?

Tout simplement parce qu'il est encore toujours possible de désactiver Windows Defender via le registre ...

"permettra plus" aurait été plus correct.

[Etre_Libre]

Tout simplement parce qu'il est encore toujours possible de désactiver Windows Defender via le registre ...

"permettra plus" aurait été plus correct.

A ma connaissance on ne peut déjà plus depuis quelques versions de Windows 10, dont la 1903, 1909 et 2004, tant que "Tamper Protection" est actif.

Cela m'a valu des accès refusés pour mes scripts quand ils veulent écrire certaines valeurs dans le registre, sauf si je désactive manuellement Tamper Protection (protection contre les falsifications).