Désactiver Windows Defender par Stratgie de groupe (W10 pro)

[Grandson]

Bonjour,

Concernant la désactivation (pour moi indispensable) de Win defender sur Win10 pro, j'ai bien lu le tuto Malekal

https://www.malekal.com/comment-desacti ... indows-10/

A part utiliser le registre ou des softs (il existe aussi DefenderControl qui semble pas mal), on ne parle pas de l'option "Stratégie de groupe" qui apparaît la plus propre et surtout la plus simple, mais disponible seulement pour les versions Pro.

Stratégie de groupe / Configuration ordinateur / modèles d’administration / composants Windows / Antivirus Windows defender / Protection en temps réel /

Mais mauvaise surprise, il semble que depuis les dernières mises à jour, "Antivirus windows defender" a été remplacé par "Windows defender smart screen" et les options recherchées pour désactivation ("Turn off Windows defender antivirus") ont disparu.

Un avis sur la question ?

[Parisien_entraide]

Bonjour

C'est arrivé avec la nouvelle version de Edge
https://support.microsoft.com/fr-fr/mic ... fa445a74c8

Je doute qu'il s'en ocuupe mais dans la présentation et réponse il y a des liens intéressants
viewtopic.php?t=65877


A lire également

https://www.malekal.com/smartscreen/

qui donne un lien sur https://www.malekal.com/comment-desacti ... osoft_Edge

[Grandson]

Salut,

Je vois que tu connais très bien la question (notamment le topic 10.05.20).

La bonne commande à travers la stratégie de groupe n'existe donc plus puisqu'on ne peut régler maintenant que Windows defender Smart screen qui agit apparemment sur Edge (dont je me fiche complètement, puisque ne l'utilise pas).

Autrement, il y a le topic précité mais en fait je ne veux pas configurer Win Defender. Juste le désactiver totalement.

Par parenthèse, on dit qu'il est désactivé dès le moment où on installe un antivirus (par ex. Avast) mais selon mon expérience c'est faux car Win Defender a quand même réussi à me supprimer des fichiers sur divers disques et à mon insu. Plus jamais !

Donc pour le désactiver, il y aurait les manip dans le registre (il en existe plusieurs, d'où quelques doutes quant à savoir laquelle choisir ou si on peut les cumuler. Ou encore Power Shell.

Mais pour faire ultra simple (vu que je veux faire du tout ou rien mais pas des réglages de Win Defender), il y aurait les deux petits utilitaires NoDefender (dont parle Malekal) ou Defender Control ici :

https://www.malekal.com/defender-contro ... n-un-clic/

Pour NoDefender, je ne trouve pas la page officielle (si elle existe) et apparemment, il fait OFF mais pas ON. Donc plus difficile de revenir en arrière.

Finalement, si on veut juste déactiver (en principe définitivemnt) Win Defender, tu penses quoi du simplissime Defender Control ? Je ne sais pas trop sur quoi il agit et si fiable.

Merci

[Parisien_entraide]

Pour Defender Control, ben.. il faut tester :-) Derrière on a l'équipe Sordum, bien connue, donc en théorie l'outil doit remplir la fonction et doit être fiable

Là où je n'ai pas confiance par contre c'est dans Microsoft qui peut faire évoluer les interactions et dépendances entre services et/ou programmes au fil du termps (comme à une époque le fait de désactiver Windows search, impactait Cortana et autres programmes)

[Grandson]

Oui, les évolutions de Microsoft ont toujours été sournoises. Sans parler de l'ingérence toujours plus prononcée dans la vie privée avec Win10.

Pour clore le sujet, selon toi, est-ce que Defender Control (bourré de virus selon Virus Total mais c'est peut-être normal) suffirait à désactiver définitivement Windows defender ou est-ce qu'il faudrait rajouter une couche à travers le registre ? A vrai dire, on ne sait pas sur quoi agit Defender Control ...

Quand on dit "définitivement" c'est peut-être jusqu'à la prochaine mise à jour de Windows qui peut réserver des surprises. Encore une fois, mon seul objectif est d'éviter la suppression intempestive (qui plus est sans aucun avis) de fichiers non seulement sur la partition système mais aussi sur les autres. Pas envie de répéter l'expérience.

[Parisien_entraide]

Je conseille une désactivation avec les moyens existants, sans aller jusqu'à la neutralisation complète ou pire une désinstallation, pour une simple raison.. Depuis la première version de Win10, il a existé des outils pour carrément virer, voire désinstaller des composants

Dans les faits cela n'a apporté que des problèmes avec les maj qui suivaient et qui recherchaient des composants disparus ou lignes dans le registre

Dernièrement la kb4023057 (voir viewtopic.php?f=2&t=65629&start=45 sur lequel je dois me pencher suite aux dernières maj) où comme je l'indiquais, effectue une remise par défaut de certains paramètres

"
- Une réinitialisation des paramètres d'alimentation de manière
- Une Réinitialisation du réseau (plus de connexion pour certains)

En fait Microsoft remet tout un tas de paramètres par défaut et veut s'assurer que le Windows n'est pas modifié/tweaké etc pour mieux s'assurer que tout se passe bien pour la mise à jour afin d'éviter les remontées négatives et problèmes utilisateurs"


Sinon pour les alarmes des AV, de virus total, c'est normal que cela couine (c'est le contraire qui aurait été suspect :-)
Dès lors que des programmes touchent des parties sensibles (noyau, sécurité etc) cela réveille les anti virus (tu as la meme chose avec les outils NIRSOFT, SYSINTERNALS, et nombre d'autres outils)

[Grandson]

Merci pour tes conseils.

Juste pour conclure, qu'entends-tu par désactivation "avec les moyens existants" ?

Comme discuté, il y avait avant dans la stratégie de groupe la bonne commande mais elle a disparu au profit de Windows defender Smartscreen avec maintenant un paramètre Explorateur et un Microsoft Edge, dans lesquels on peut configurer Smart screen (en l'occurrence, désactiver).

N'étant pas un connaisseur, je crois comprendre que, s'agissant de Edge, Smartscreen va scanner les téléchargements et bloquer au besoin ce qu'il considère suspect. Bon, ça je m'en fiche, d'autant plus que j'utilise Firefox (en supposant que Smartscreen n'y interfère pas). Par contre, c'est la partie "Explorateur" que je ne comprends pas :

On peut configurer le contrôle d'installation des applications (par défaut réglé sur non configuré et du reste jamais saisi la différence avec désactivé). Bon, ça c'est assez explicite. Par contre on peut aussi configurer Windows defender Smartscreen pour ce même Explorateur (par défaut sur non configuré). C'est quoi cette fonction Smartscreen pour l'Explorateur ???

Un rapport avec l'activité de Windows defender qui m'avait agressivement supprimé sans avertissement des fichiers sur diverses partitions et disques ??

Merci pour tes lumières !

En enfin, si on utlise Defender Control, est-ce que ça vaut aussi la peine de désactiver en plus ces fonctions Smartscreen dont on parle, notamment pour l'Explorateur ?

[Parisien_entraide]

Par "moyens existants", je parle des programmes qui ont un switch pour activer ou désactiver (cela met par ex à "0" au lieu de "1" une fonction via le registre etc sans oublier les commandes power shell), donc c'est .. reversible

Dans Edge la fonction smarscreen se désactive dans les paramètres
Mais si tu lances EDGE : viewtopic.php?t=65094

Non configuré n'est pas égal à désactivé, mais cela l'est souvent (suffit de regarder les fonctions des divers programmes dans la GPO)

Concernant le filtre smartscreen pour l'explorateur, je pense que tu auras la réponse à sa fonction ici
https://www.malekal.com/smartscreen/

[Parisien_entraide]

Ah tiens j'ai retrouvé un message que j'avais posté et qui date de 2015

A re-considérer du fait qu'ils se sont améliorés depuis (normalement...Mais Malekal confirmera peut etre pour les exploits)

"Le gros problème du smartscreen est qu'il est très mauvais pour la protection contre les exploits (qui n'est pas son domaine). Relativement efficace contre le phishing et programmes "malicieux "lors de leurs téléchargements.
Et lorsque je dis "relativement" c'est assez faible comparé à Firefox dont son équivalent est basé sur le Stopbadware de Google
Là où firefox va stopper 30 liens ou programmes malveillants, le smartscreen de Microsoft en stoppera tout juste une dizaine

Le truc c'est qu'il y a une contre partie : SmartScreen "écoute "les téléchargements effectués sur Internet Explorer MAIS aussi ceux de Chrome et Mozilla Firefox

Nadim Kobeissi, un expert en sécurité informatique a révélé que SmartScreen informe Microsoft de tous les téléchargements et installations de logiciels effectués depuis Windows 8.
De plus, des pirates pourraient intercepter la communication entre l'ordinateur ou la tablette exécutant ce système d'exploitation et les serveurs de Microsoft
Chez Microsoft ils utilisent en effet une méthode de cryptage HTTPS « obsolète et non sécurisée » pour récupérer les informations collectées par SmartScreen. Cela a été corrigé depuis.(SSL3)..

Microsoft s'en défend : http://www.cnetfrance.fr/news/windows-8 ... 775491.htm

Et comme le SSL3 est faillible..."

[Grandson]

Merci, intéressant.
Autant désactiver manuellement dans la Stratégie de groupe ce Smartscreen (pour les réticents), tant pour la partie Edge que pour l'Explorateur.

Mais si j'ai bien compris, ce Windows defender "Smartscreen" n'a strictement aucun rapport avec la fonction Windows defender qui, indépendamment de la connexion Internet, téléchargements etc., va scanner sournoisement nos disques et supprimer sans avertissement des fichiers soi-disant suspects. C'était en fait l'objet de ce post.

Donc sous cet angle et pour régler le problème, j'en conclus qu'un soft comme Defender Control (si il fait bien son job), est la solution la plus appropriée... Ou alors bricoler dans le registre, plus encore Powershell si ça ne fait pas double emploi.

[Parisien_entraide]

Normalement là tu as toutes les pistes pour désactiver
Quant à Defender.. on note ici pas mal de problèmes avec lui, car il a tendance au faux positif et le pire c'est qu'il n'affiche pas toujours de messages, pop up, pour signaler qu'il bloque tel ou tel fichier
Mieux tu as une merdouille dans le dossier téléchargements, il va la virer, mais garde trace et indique quand même que tu as une infection et ce plusieurs fois (on le voit dans les rapports FRST)
Au final cela perturbe l'utilisateur qui voit apparaitre ces messages

Sinon pour faire le tour complet, dans un moteur de recherche, tapotes "malekal desactiver defender" et c'est là qu on voit que cela ne se fait pas d'un clic de souris

[Grandson]

Le tuto Malekal que tu indiques était justement à l'origine de ma question car la solution Stratégie de groupe qui était si simple et efficace à elle-seule ne fonctionne plus (ce serai utile de mettre à jour si Malekal veut bien rectifier).

Et comme tu dis, j'ai toutes les pistes pour désactiver Win Defender MAIS personne n'indique si c'est une bonne ou une mauvaise idée de cumuler les diverses solutions (registre, Powershell, softs etc.).

C'était juste ça ma dernière question car pour des néophytes (juste utilisateurs de Win), il est difficile de savoir si la commande Powershell serait par exemple redondante avec le paramétrage du registre. Et encore plus difficile de savoir sur quoi agissent les softs comme Defender Control etc.

Merci pour ta compréhension et encore merci pour ton intervention car tu est le seul à avoir participé !

[Parisien_entraide]

Je conseille de ne pas cumuler les programmes..
Si il y a un soucis tu ne sauras pas d'où cela vient

On peut trouver des commandes redondantes mais souvent tu as la possibilité de passer par le registre, qui donnera la même procédure mais en passant par la GP0 et...powerShell pour le meme résultat (c'est l'approche qui est différente)

[Grandson]

Ok,

Mais quand tu dis :
"possibilité de passer par le registre, qui donnera la même procédure mais en passant par la GP0 et...powerShell pour le meme résultat"

je suppose qu'il faut comprendre :
Possibilité de passer par le registre qui donnera par une autre procédure le même résultat qu'en passant par GP0 et PowerShell ?

Si c'est bien ça, c'est tout bon, merci.

[Parisien_entraide]

C'est vrai qu'en me relisant ce n'est pas clair... Mais tu as tout compris :-)