Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Windows Defender désactivé par les stratégies de groupe [Résolu]

Imaginez ce scénario : un beau jour, vous ouvrez une session sur votre ordinateur et Windows Defender ne démarre pas. Vous le démarrez manuellement et vous obtenez le message « Cette application...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 28 octobre 2021

Contenu

    Imaginez ce scénario : un beau jour, vous ouvrez une session sur votre ordinateur et Windows Defender ne démarre pas. Vous le démarrez manuellement et vous obtenez le message « Cette application est désactivée par la stratégie de groupe. »

    Se pourrait-il que vous ayez été piraté ?

    Les pirates savent que Windows Defender peut détecter les cyberattaques ; le fait de tenter de désactiver cette application fait donc partie de leur stratégie standard. En fonction de leur niveau d’accès, il arrive qu’ils puissent utiliser la stratégie de groupe pour désactiver Windows Defender sur plusieurs machines, ce qui leur permet de passer plus facilement d’un ordinateur à l’autre sur votre réseau. Ils utiliseront parfois une stratégie de groupe locale pour désactiver Defender. Les pirates peuvent utiliser d’autres méthodes pour désactiver Defender, mais celle exploitant la stratégie de groupe rend plus difficile sa réactivation par l’utilisateur.

    5 solutions pour résoudre le problème Windows Defender désactivé par la stratégie de groupe

    Si un ou plusieurs de vos utilisateurs vous signalent ce type d’erreur, plusieurs options s’offrent à vous pour réactiver Defender. En tant que professionnel de la sécurité, pour trouver des preuves d’intrusion, vous pourrez vérifier plusieurs de ces paramètres ainsi que quelques autres éléments (tels que les malwares, les journaux d’événements AD).

    Solution 1 : utiliser la stratégie de groupe

    1. Ouvrez l’éditeur de stratégie de groupe
    2. Sélectionnez Stratégie Ordinateur local -> Modèles d’administration -> Composants Windows
      local group policy editor screenshot
    3. Sélectionnez Windows Defender et dans le panneau de droite faites un double clic sur le paramètre « Désactiver Windows Defender »
      local group policy editor illustrated screenshot
    4. Si vous ne pouvez pas exécuter Windows Defender, « Désactiver Windows Defender » devrait normalement être défini sur Activé. Vous voulez désactiver cette option. Pour réaliser cette modification, vous devez avoir les droits d’administrateur local.
      turn off windows defender screenshot

    Après avoir mis à jour cette stratégie de groupe, vous devriez pouvoir exécuter Windows Defender.

    Solution 2 : paramètres utilisateur

    Pour réactiver Windows Defender, une autre option consiste à passer par les paramètres du Panneau de commandes.

    1. Cliquez sur le bouton Démarrer et entrez Windows Defender, puis double-cliquez sur l’icône du Centre de sécurité Windows Defender (les choses peuvent se présenter de façon légèrement différente selon votre version de Windows).
    2. Cliquez sur Paramètres, et cherchez un bouton libellé « Protection en temps réel ». Assurez-vous que cette option est activée.
      user settings screenshot

    Solution 3 : utiliser la ligne de commandes

    Une autre solution consiste à exécuter la commande suivante à partir de PowerShell (assurez-vous de l’exécuter en tant qu’administrateur).

    Set-MpPreference -DisableRealtimeMonitoring 0

    Solution 4 : utiliser l’Éditeur du registre

    Une autre façon possible de corriger ce problème consiste à modifier le Registre.

    1. Exécutez « regedit »
    2. Parcourez l’arborescence vers HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
    3. Dans le panneau de droite, supprimez DisableAntiSpyware.
    4. Naviguez vers HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    5. Dans le panneau de droite, supprimez DisableRealtimeMonitoring.

    Les personnes ayant suivi cette méthode indiquent que c’est parfois la première suppression qui fonctionne, parfois la deuxième, et parfois la combinaison des deux. Pour être sûr de notre coup, il vaut mieux supprimer les deux.

    Solution 5 : rechercher les conflits de programmes

    Il est possible que les pirates aient désactivé Windows Defender par d’autres moyens qu’une falsification directe des paramètres de l’ordinateur. Il vous faudra alors poursuivre votre enquête pour que tout soit à nouveau opérationnel.

    Vérifiez la présence de malwares

    Un malware peut désactiver Defender et le maintenir dans cet état malgré tous vos efforts pour le réactiver. Si vous ne parvenez pas à réactiver Defender, c’est que vous êtes peut-être infecté. Installez et exécutez un autre détecteur de malware de votre choix et voyez si vous pouvez trouver et éliminer l’infection.

    Une autre option consiste à faire ce que fait Varonis ITSec et à réinstaller le système d’exploitation.

    Vérifiez la présence d’outils antivirus d’autres éditeurs

    Si aucune des autres solutions ne fonctionne, et si vous avez une autre application antivirus installée, vérifiez que celle-ci fonctionne bien avec Windows Defender. Certains antivirus ne fonctionnent pas bien avec Defender. Certaines solutions EDR fonctionnent bien.

    Windows Defender est une bonne ligne de défense dans le cadre d’une stratégie de sécurité multi-couches, mais les pirates peuvent assez facilement la contourner. Il est aussi facile pour eux de le désactiver que pour vous de l’activer.

    solutions for windows defender turned off by group policy

    Varonis fournit une surveillanceune télémétrie du périmètre et une analyse avancée de la sécurité des données pour détecter les intrusions et les pirates, même lorsqu’ils tentent de se cacher en désactivant Windows Defender. Varonis surveille les modifications des stratégies de groupe et déclenchera une alerte à chaque fois que quelqu’un modifiera une telle stratégie. Varonis détecte également les pirates qui se connectent au réseau depuis des localisations géographiques étranges pour tenter de voler ou d’élever des privilèges.

    Vous voulez voir comment Varonis vous protège contre les attaques ? Inscrivez-vous dès maintenant à un Atelier gratuit de cyberattaque en direct !

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    varonis-étend-sa-couverture-pour-aider-à-sécuriser-les-données-critiques-de-snowflake
    Varonis étend sa couverture pour aider à sécuriser les données critiques de Snowflake
    varonis-étend-sa-couverture-pour-aider-à-sécuriser-les-données-critiques-de-snowflake
    Nathan Coppinger
    29 janvier 2024
    Varonis étend la couverture DSPM à Snowflake, améliorant ainsi la visibilité et la sécurité des données critiques de Snowflake.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.