Blog Sécurité des données

Windows Defender désactivé par les stratégies de groupe [Résolu]

Imaginez ce scénario : un beau jour, vous ouvrez une session sur votre ordinateur et Windows Defender ne démarre pas. Vous le démarrez manuellement et vous obtenez le message « Cette application...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 28 octobre 2021

Contents

    Imaginez ce scénario : un beau jour, vous ouvrez une session sur votre ordinateur et Windows Defender ne démarre pas. Vous le démarrez manuellement et vous obtenez le message « Cette application est désactivée par la stratégie de groupe. »

    Se pourrait-il que vous ayez été piraté ?

    Les pirates savent que Windows Defender peut détecter les cyberattaques ; le fait de tenter de désactiver cette application fait donc partie de leur stratégie standard. En fonction de leur niveau d’accès, il arrive qu’ils puissent utiliser la stratégie de groupe pour désactiver Windows Defender sur plusieurs machines, ce qui leur permet de passer plus facilement d’un ordinateur à l’autre sur votre réseau. Ils utiliseront parfois une stratégie de groupe locale pour désactiver Defender. Les pirates peuvent utiliser d’autres méthodes pour désactiver Defender, mais celle exploitant la stratégie de groupe rend plus difficile sa réactivation par l’utilisateur.

    5 solutions pour résoudre le problème Windows Defender désactivé par la stratégie de groupe

    Si un ou plusieurs de vos utilisateurs vous signalent ce type d’erreur, plusieurs options s’offrent à vous pour réactiver Defender. En tant que professionnel de la sécurité, pour trouver des preuves d’intrusion, vous pourrez vérifier plusieurs de ces paramètres ainsi que quelques autres éléments (tels que les malwares, les journaux d’événements AD).

    Solution 1 : utiliser la stratégie de groupe

    1. Ouvrez l’éditeur de stratégie de groupe
    2. Sélectionnez Stratégie Ordinateur local -> Modèles d’administration -> Composants Windows
      local group policy editor screenshot
    3. Sélectionnez Windows Defender et dans le panneau de droite faites un double clic sur le paramètre « Désactiver Windows Defender »
      local group policy editor illustrated screenshot
    4. Si vous ne pouvez pas exécuter Windows Defender, « Désactiver Windows Defender » devrait normalement être défini sur Activé. Vous voulez désactiver cette option. Pour réaliser cette modification, vous devez avoir les droits d’administrateur local.
      turn off windows defender screenshot

    Après avoir mis à jour cette stratégie de groupe, vous devriez pouvoir exécuter Windows Defender.

    Solution 2 : paramètres utilisateur

    Pour réactiver Windows Defender, une autre option consiste à passer par les paramètres du Panneau de commandes.

    1. Cliquez sur le bouton Démarrer et entrez Windows Defender, puis double-cliquez sur l’icône du Centre de sécurité Windows Defender (les choses peuvent se présenter de façon légèrement différente selon votre version de Windows).
    2. Cliquez sur Paramètres, et cherchez un bouton libellé « Protection en temps réel ». Assurez-vous que cette option est activée.
      user settings screenshot

    Solution 3 : utiliser la ligne de commandes

    Une autre solution consiste à exécuter la commande suivante à partir de PowerShell (assurez-vous de l’exécuter en tant qu’administrateur).

    Set-MpPreference -DisableRealtimeMonitoring 0

    Solution 4 : utiliser l’Éditeur du registre

    Une autre façon possible de corriger ce problème consiste à modifier le Registre.

    1. Exécutez « regedit »
    2. Parcourez l’arborescence vers HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
    3. Dans le panneau de droite, supprimez DisableAntiSpyware.
    4. Naviguez vers HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    5. Dans le panneau de droite, supprimez DisableRealtimeMonitoring.

    Les personnes ayant suivi cette méthode indiquent que c’est parfois la première suppression qui fonctionne, parfois la deuxième, et parfois la combinaison des deux. Pour être sûr de notre coup, il vaut mieux supprimer les deux.

    Solution 5 : rechercher les conflits de programmes

    Il est possible que les pirates aient désactivé Windows Defender par d’autres moyens qu’une falsification directe des paramètres de l’ordinateur. Il vous faudra alors poursuivre votre enquête pour que tout soit à nouveau opérationnel.

    Vérifiez la présence de malwares

    Un malware peut désactiver Defender et le maintenir dans cet état malgré tous vos efforts pour le réactiver. Si vous ne parvenez pas à réactiver Defender, c’est que vous êtes peut-être infecté. Installez et exécutez un autre détecteur de malware de votre choix et voyez si vous pouvez trouver et éliminer l’infection.

    Une autre option consiste à faire ce que fait Varonis ITSec et à réinstaller le système d’exploitation.

    Vérifiez la présence d’outils antivirus d’autres éditeurs

    Si aucune des autres solutions ne fonctionne, et si vous avez une autre application antivirus installée, vérifiez que celle-ci fonctionne bien avec Windows Defender. Certains antivirus ne fonctionnent pas bien avec Defender. Certaines solutions EDR fonctionnent bien.

    Windows Defender est une bonne ligne de défense dans le cadre d’une stratégie de sécurité multi-couches, mais les pirates peuvent assez facilement la contourner. Il est aussi facile pour eux de le désactiver que pour vous de l’activer.

    solutions for windows defender turned off by group policy

    Varonis fournit une surveillanceune télémétrie du périmètre et une analyse avancée de la sécurité des données pour détecter les intrusions et les pirates, même lorsqu’ils tentent de se cacher en désactivant Windows Defender. Varonis surveille les modifications des stratégies de groupe et déclenchera une alerte à chaque fois que quelqu’un modifiera une telle stratégie. Varonis détecte également les pirates qui se connectent au réseau depuis des localisations géographiques étranges pour tenter de voler ou d’élever des privilèges.

    Vous voulez voir comment Varonis vous protège contre les attaques ? Inscrivez-vous dès maintenant à un Atelier gratuit de cyberattaque en direct !

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Michael Buckbee
    Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    guide-de-l’éditeur-de-stratégie-de-groupe-locale-:-options-d’accès-et-utilisation
    Guide de l’Éditeur de stratégie de groupe locale : options d’accès et utilisation
    guide-de-l’éditeur-de-stratégie-de-groupe-locale-:-options-d’accès-et-utilisation
    Michael Buckbee
    22 mai 2021
    L’Éditeur de stratégie de groupe locale (gpedit) est un outil essentiel des administrateurs système Active Directory. Consultez cet article de blog pour en savoir plus sur gpedit.
    utilisateurs-et-ordinateurs-de-l’active-directory-(aduc)-:-installation-et-utilisations
    Utilisateurs et ordinateurs de l’Active Directory (ADUC) : installation et utilisations
    utilisateurs-et-ordinateurs-de-l’active-directory-(aduc)-:-installation-et-utilisations
    Michael Buckbee
    12 août 2019
    ADUC (Active Directory Users and Computers) est un module de console d’administration Microsoft (snap-in) qui est utilisée pour administrer Active Directory (AD). Vous pouvez gérer des objets (utilisateurs, ordinateurs), des...
    guide-des-gmsa-:-sécurité-et-déploiement-des-comptes-de-service-administrés-de-groupe
    Guide des gMSA : sécurité et déploiement des comptes de service administrés de groupe
    guide-des-gmsa-:-sécurité-et-déploiement-des-comptes-de-service-administrés-de-groupe
    Josue Ledesma
    15 octobre 2021
    Découvrez comment vous pouvez configurer les gMSA pour sécuriser vos appareils sur site via des comptes de services gérés.
    la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-28-juin
    La semaine dernière, dans l’actualité du ransomware : semaine du 28 juin
    la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-28-juin
    Michael Raymond
    28 juin 2021
    Actualité du ransomware Vous êtes une PME et vous utilisez des lecteurs de stockage dans le cloud hébergés localement d’une marque bien connue ? Déconnectez-les sans attendre du réseau ! Des hackers ont...