Discussion :

[cyber_N]

Bonjour à tous les membres,

Pour faire des tests, je voudrais désactiver defender (et ce qui va avec) via les 3 1ères lignes du script ci-dessous mais cela ne marche pas ! (l'interrupteur de l'antivirus est toujours à ON !) ... Avez-vous une idée ?

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v TamperProtection /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Notifications" /v DisableNotifications /t REG_DWORD /d 1 /f

reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications" /v ToastEnabled /t REG_DWORD /d 0 /f
reg add "HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Explorer" /v DisableNotificationCenter /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications" /v NoToastApplicationNotification /t REG_DWORD /d 1 /f

netsh advfirewall firewall set rule group="Partage de fichiers et d’imprimantes" new enable=Yes
netsh advfirewall firewall add rule name="Allow UDP 135" dir=in action=allow protocol=UDP localport=135
netsh advfirewall firewall add rule name="Allow TCP 445" dir=in action=allow protocol=TCP localport=445
netsh advfirewall firewall add rule name="Allow TCP 3389" dir=in action=allow protocol=TCP localport=3389

powershell.exe -Command Install-WindowsFeature -Name FS-SMB1-CLIENT
powershell.exe -Command Install-WindowsFeature -Name FS-SMB1-SERVER
powershell.exe -Command Enable-WindowsOptionalFeature -Online -Feature SMB1Protocol Création utilisateur

A vous lire,
CN

[cage92]

Bonsoir,

Pour complétement désactiver/réactiver Windows Defender, j'utilise l'utilitaire Defender Control a télécharger sur le site www.sordum.org

cage

[XeGregory]

Pourquoi ça ne marche pas

Tamper Protection empêche les modifications du registre :
Même si tu ajoutes la clé TamperProtection = 0, cette modification est ignorée tant que Tamper Protection est activée.
Elle doit être désactivée manuellement.

DisableAntiSpyware est obsolète :
Depuis Windows 10 version 1903, cette clé n’a plus d’effet sur les systèmes.
Microsoft Defender reste actif même si cette clé est définie.

Les services de Defender sont protégés :
Même si tu modifies les clés de registre, les services comme WinDefend ou SecurityHealthService sont protégés par des mécanismes de sécurité (comme Protected Process Light).

Désactiver Tamper Protection !!!

Ouvre l’application Sécurité Windows :
Clique sur le bouton Démarrer.
Tape Sécurité Windows et ouvre l’application.
Accède à la section "Protection contre les virus et menaces" :
Dans le menu de gauche, clique sur Protection contre les virus et menaces.
Clique sur "Gérer les paramètres" :
Sous Paramètres de protection contre les virus et menaces, clique sur Gérer les paramètres.
Désactive "Protection contre la falsification" :
Trouve l’interrupteur Protection contre la falsification (Tamper Protection).
Bascule-le sur Désactivé.
Confirme via le contrôle de compte utilisateur (UAC) si demandé.

Script PowerShell : Désactivation de Defender

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
# À exécuter en tant qu'administrateur

Write-Host "Désactivation de Microsoft Defender..." -ForegroundColor Cyan

# 1. Désactivation via PowerShell
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -DisableScriptScanning $true
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -DisableEnhancedNotifications $true
Set-MpPreference -DisableArchiveScanning $true
Set-MpPreference -DisableIntrusionPreventionSystem $true
Set-MpPreference -DisablePrivacyMode $true
Set-MpPreference -DisableBlockAtFirstSeen $true
Set-MpPreference -DisableCloudProtection $true
Set-MpPreference -MAPSReporting 0
Set-MpPreference -SubmitSamplesConsent 2
Set-MpPreference -SignatureUpdateInterval 0
Set-MpPreference -CheckForSignaturesBeforeRunningScan $false
Set-MpPreference -DisableEmailScanning $true

# 2. Ajout de clés de registre pour désactivation persistante
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableBehaviorMonitoring /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableScanOnRealtimeEnable /t REG_DWORD /d 1 /f

# 3. Arrêt et désactivation du service Defender (WinDefend)
Stop-Service -Name WinDefend -Force
Set-Service -Name WinDefend -StartupType Disabled

# 4. Vérification
Write-Host "`nÉtat actuel des préférences Defender :" -ForegroundColor Yellow
Get-MpPreference | Format-List