Introduction
Les attaquants utilisent diverses techniques pour désactiver Microsoft Defender avant de lancer leurs charges malveillantes, rendant les systèmes vulnérables. Tamper Protection est une fonctionnalité essentielle qui empêche toute modification non autorisée des paramètres de sécurité de Defender, même par un administrateur local ou un processus malveillant.
Dans cet article, nous verrons pourquoi Tamper Protection est cruciale, comment l’activer à grande échelle via Microsoft Defender Security Center, et comment surveiller les tentatives de désactivation.
1. Qu’est-ce que Tamper Protection ?
Tamper Protection empêche toute modification non autorisée des paramètres suivants de Microsoft Defender :
✅ Désactivation de la protection en temps réel
✅ Désactivation de la surveillance comportementale
✅ Désactivation de la protection Cloud
✅ Désactivation de la soumission automatique d’échantillons
✅ Suppression des mises à jour de protection antivirus
Une fois activée, Tamper Protection bloque toute tentative de désactivation, que ce soit via PowerShell, GPO, ou un compte administrateur local. Cette protection est cruciale contre les malwares et ransomwares qui cherchent à désactiver l’antivirus avant une compromission du système.
2. Activation de Tamper Protection via Microsoft Defender Security Center
L’activation de Tamper Protection doit être effectuée exclusivement via Microsoft Defender Security Center.
Activer Tamper Protection sur l’ensemble de votre organisation
1️⃣ Connectez-vous à Microsoft Defender Security Center.
2️⃣ Accédez à Settings > Endpoints > Advanced features.
3️⃣ Recherchez l’option Tamper Protection.
4️⃣ Activez la fonctionnalité.
5️⃣ Cliquez sur Enregistrer pour appliquer la configuration.
✅ Une fois activée, Tamper Protection est appliquée sur tous les appareils et ne peut pas être désactivée localement.
3. Vérification de l’état de Tamper Protection via PowerShell
Bien que l’activation soit gérée via Defender Security Center, il est possible de vérifier si Tamper Protection est activée sur un appareil localement via PowerShell :
powershell
CopierModifier
(Get-MpPreference).DisableTamperProtection
- Valeur 0 → Tamper Protection est activé ✅
- Valeur 1 → Tamper Protection est désactivé ❌
⚠ Attention : Il est impossible d’activer ou de désactiver Tamper Protection via PowerShell si elle est gérée via Defender Security Center.
4. Désactivation temporaire de Tamper Protection via le mode Troubleshooting
Dans certains cas, il peut être nécessaire de désactiver temporairement Tamper Protection, notamment pour le déploiement de certains logiciels ou la résolution de problèmes.
Cela ne peut être fait que via Microsoft Defender Security Center en activant le mode Troubleshooting (Dépannage).
Comment activer le mode Troubleshooting ?
1️⃣ Connectez-vous à Microsoft Defender Security Center.
2️⃣ Accédez à Appareils sous Gestion des menaces et des vulnérabilités.
3️⃣ Recherchez et sélectionnez l’appareil concerné.
4️⃣ Cliquez sur « Turn on troubleshooting mode ».
5️⃣ Durée maximale : 4 heures ⏳ (passé ce délai, Tamper Protection se réactive automatiquement).
⚠ Attention : cette option doit être utilisée uniquement en cas de nécessité absolue et sous surveillance, car elle expose temporairement l’appareil à des attaques potentielles.
5. Surveillance et détection des tentatives de désactivation
Événements Windows à surveiller
Vous pouvez détecter les tentatives de modification des paramètres de Defender en surveillant l’Observateur d’événements :
1️⃣ Ouvrez Event Viewer (eventvwr.msc).
2️⃣ Allez dans Applications et services logs > Microsoft > Windows > Windows Defender > Operational.
3️⃣ Recherchez l’ID d’événement 5007, qui signale une tentative de modification bloquée.
Microsoft Defender Security Center et Microsoft Sentinel
Si vous utilisez Microsoft Defender for Endpoint (MDE), vous pouvez retrouver ces événements dans la console Security Center et les analyser via Microsoft Sentinel pour identifier les attaques ciblées.
💡 Bonnes pratiques :
- Activez les alertes pour être notifié des tentatives de falsification.
- Intégrez Defender avec Sentinel pour une surveillance centralisée.
- Corrélez ces événements avec d’autres indicateurs d’attaques potentielles.
6. FAQ et bonnes pratiques
Tamper Protection bloque-t-il les GPO et les scripts PowerShell ?
✅ Oui. Un administrateur local ou un GPO ne peut pas désactiver Defender une fois Tamper Protection activé.
Que se passe-t-il si un ransomware tente de désactiver Defender ?
✅ L’action sera bloquée, et une alerte sera remontée dans Microsoft Defender Security Center.
Peut-on désactiver Tamper Protection temporairement ?
✅ Oui, mais uniquement via Microsoft Defender Security Center, en activant le mode Troubleshooting pour une durée maximale de 4 heures.
7. Conclusion
Tamper Protection est une protection essentielle contre les attaques cherchant à désactiver Microsoft Defender. Son activation via Microsoft Defender Security Center est fortement recommandée pour toutes les organisations afin de garantir une protection maximale contre les menaces avancées.
🔹 À retenir :
✅ Empêche toute modification non autorisée de Microsoft Defender
✅ Bloque les attaques essayant de désactiver l’antivirus
✅ Ne peut pas être désactivé localement (même avec PowerShell ou GPO)
✅ Se configure uniquement via Microsoft Defender Security Center
✅ Peut être temporairement désactivé en mode troubleshooting (4h max)
📢 Avez-vous déjà rencontré des tentatives de désactivation de Defender dans votre organisation ? Partagez vos retours !
Besoin d’un suivi avancé sur Microsoft Defender et la sécurité Windows ?
N’hésitez pas à consulter mes autres articles ou à me contacter pour échanger sur ces sujets ! 🚀
