Defender ne sera désormais désactivé qu’à partir des paramètres de Windows ou quand un autre programme antivirus est installé sur le PC. En effet, l’entreprise estime que lors de certains types de cyberattaques, les attaquants tentent de désactiver les fonctionnalités de sécurité, comme la protection antivirus, sur vos machines. Ils le font pour accéder facilement à vos données, installer des logiciels malveillants ou pour exploiter d'une autre manière vos données, votre identité et vos appareils. Pour éviter que cela ne se produise, Microsoft a donc conçu Tamper Protection.
Tamper Protection empêche les applications malveillantes d’initier des actions telles que : la désactivation de la protection contre les virus et les diverses menaces, la désactivation de la protection en temps réel et la surveillance du comportement, la désactivation de l'antivirus, etc. Cela les empêche également de désactiver la protection fournie par le cloud ou de supprimer des mises à jour des données de sécurité. Pour y arriver, cette fonction verrouille essentiellement Defender et fait obstacle à l’utilisation de toute méthode servant à modifier vos paramètres de sécurité.
Lorsque Tamper Protection est activé, il bloque la configuration des paramètres dans l'éditeur de registre sur votre machine Windows, il évite également le changement des paramètres grâce aux cmdlets PowerShell et empêche la modification ou la suppression des paramètres de sécurité par le biais des politiques de groupe. Selon Microsoft, cette fonctionnalité fait maintenant partie intégrante de l'environnement de sécurité de Windows 10, et vous devez l'activer pour une protection accrue contre les logiciels malveillants et les programmes malveillants.
Pour rappel, Windows Defender pouvait être désactivé en utilisant la stratégie de groupe “Désactiver l'antivirus Microsoft Defender”. Une fois que cette stratégie de groupe est activée, la valeur DisableAntiSpyware est créée dans le registre. Ensuite, cette valeur du registre est fixée à 1 sous
HKEY_LOCAL_MICHINE/SOFTWARE/Politiques/Microsoft/WindowsDefender. Une fois que cette clé est activée, elle désactivera l'antivirus Defender et les logiciels de sécurité tiers ainsi que les applications. Cela ne sera plus possible avec Tamper Protection.
En outre, Tamper Protection ne vous empêche pas de consulter vos paramètres de sécurité. Cela dit, les paramètres de Defender peuvent être désormais modifiés seulement via le panneau “Paramètres de sécurité”. De plus, l’entreprise confirme que Tamper Protection n'affecte pas la façon dont les applications antivirus tierces s'enregistrent avec Defender. Enfin, si votre organisation utilise Windows 10 Enterprise E5, les utilisateurs individuels ne vont pas pouvoir modifier les paramètres de Tamper Protection. Selon Microsoft, ce paramètre est géré par votre équipe de sécurité.
Activer (ou désactiver) la protection contre les manipulations pour une machine individuelle
Si vous êtes un utilisateur à domicile, ou si vous n'êtes pas soumis à des paramètres de sécurité gérés par une équipe de sécurité, vous pouvez utiliser l'application Windows Security pour activer ou désactiver Tamper Protection. Toutefois, avant de pouvoir l’activer, vous devez disposer des autorisations d'administration appropriées sur votre machine.
- cliquez sur Démarrer, et commencez à taper Defender. Dans les résultats de la recherche,
- sélectionnez Sécurité Windows ;
- sélectionnez Protection contre les virus et les menaces > Paramètres de protection contre les virus et les menaces ;
- activez ou désactivez Tamper Protection.
Activer (ou désactiver) la protection contre les manipulations pour votre organisation en utilisant Intune
Si vous faites partie de l'équipe de sécurité de votre organisation, et que votre abonnement inclut Intune, vous pouvez activer (ou désactiver) Tamper Protection pour votre organisation en vous rendant dans le centre d'administration de Microsoft Endpoint Manager. Vous devez disposer des autorisations appropriées, telles que “global admin”, “security admin” ou “security operations”, pour effectuer la tâche. Outre ce fait, vous devez assurer que votre organisation répond à certaines exigences pour gérer Tamper Protection à l'aide d'Intune.
- votre organisation doit utiliser Intune pour gérer les dispositifs ;
- vos machines Windows doivent fonctionner sous Windows 10 OS 1709, 1803, 1809 ou plus récent ;
- vous devez utiliser la sécurité de Windows avec "security intelligence" mise à jour à la version 1.287.60.0 (ou supérieure) ;
- vos machines doivent utiliser la plateforme anti-malware v4.18.1906.3 (ou supérieure) et le moteur anti-malware v1.1.15500.X (ou supérieure) ;
- rendez-vous dans le centre d'administration de Microsoft Endpoint Manager et connectez-vous avec votre compte professionnel ou scolaire ;
- sélectionnez Dispositifs > Profils de configuration ;
- créez un profil ;
- attribuer le profil à un ou plusieurs groupes.
Si vous utilisez Windows 10 OS 1709, 1803 ou 1809, vous ne verrez pas Tamper Protection dans l'application de sécurité de Windows. Dans ce cas, vous pouvez utiliser PowerShell pour voir si Tamper Protection est activée sur votre machine. Pour cela :
- ouvrez l'application Windows PowerShell ;
- utilisez la cmdlet PowerShell Get-MpComputerStatus ;
- dans la liste des résultats, cherchez IsTamperProtected. La true signifie que Tamper Protection est activée.
Source : Microsoft
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Chrome 86 bêta apporte deux fonctionnalités pour améliorer l'expérience utilisateur et développeur sur le focus, ainsi que les méta-balises d'économie de batterie
Chrome 85 pour Android va ajouter un DNS sécurisé pour une navigation plus sûre et plus privée, une fonctionnalité basée sur DNS-over-HTTPS, annonce Google
Microsoft annonce la disponibilité générale de Windows Defender ATP, son antivirus pour Windows 10, pour les serveurs Linux et le lancement d'une préversion publique pour Android
Antivirus : Windows Defender serait maintenant l'une des meilleures applications antivirus au monde, selon AV-TEST
Une nouvelle extension de Windows Defender Application Guard pour Chrome et Firefox ouvre des sites non approuvés dans Microsoft Edge