Comment désactiver Windows Defender sur Windows Server 2019 et 2022

Avant de désactiver Microsoft Defender Antivirus, créez un point de restauration système et préparez votre solution de sécurité alternative. Cela empêche de laisser votre serveur sans protection.

Enable-ComputerRestore -Drive "C:"
Checkpoint-Computer -Description "Avant désactivation de Defender" -RestorePointType "MODIFY_SETTINGS"

Vérifiez que le point de restauration a été créé :

Get-ComputerRestorePoint | Select-Object -Last 1

Téléchargez et préparez votre installateur antivirus tiers mais ne l'installez pas encore. Les options populaires pour les entreprises incluent Symantec Endpoint Protection, CrowdStrike Falcon ou SentinelOne.

Tout d'abord, vérifiez quels composants de Defender sont actuellement installés et actifs sur votre serveur. Cela vous aide à comprendre ce qui doit être désactivé.

Get-WindowsFeature -Name *Defender*

Vérifiez l'état actuel des services Defender :

Get-Service -Name *Defender* | Select-Object Name, Status, StartType

Voir l'état de la protection en temps réel :

Get-MpPreference | Select-Object DisableRealtimeMonitoring, DisableBehaviorMonitoring, DisableIOAVProtection

La sortie vous montre exactement quelles fonctionnalités sont activées. Recherchez InstallState : Installed pour les fonctionnalités de Windows-Defender et les services en cours d'exécution comme WinDefend.

Microsoft recommande de désinstaller complètement Defender sur les serveurs sans AV tiers. C'est la méthode la plus complète et elle prévient les conflits.

Ouvrez PowerShell en tant qu'administrateur et exécutez la commande de désinstallation :

Uninstall-WindowsFeature -Name Windows-Defender-Features -Restart

Si vous préférez redémarrer manuellement plus tard, utilisez :

Uninstall-WindowsFeature -Name Windows-Defender-Features -Remove

Le processus supprime tous les composants de Defender, y compris :

• Moteur Antivirus Windows Defender
• Interface graphique Windows Defender
• Cmdlets PowerShell pour Defender
• Tous les services et pilotes associés

Après le redémarrage, vérifiez la suppression complète :

Get-WindowsFeature -Name Windows-Defender-Features

Vous devriez voir InstallState : Removed. Vérifiez également que les services Defender n'existent plus :

Get-Service -Name WinDefend -ErrorAction SilentlyContinue

Cela ne devrait renvoyer aucun résultat ou une erreur indiquant que le service n'existe pas.

Si vous ne pouvez pas désinstaller Defender ou si vous devez le désactiver sur plusieurs serveurs via la stratégie de groupe, utilisez cette méthode. Elle désactive la protection en temps réel mais garde le service installé.

Pour la stratégie de groupe locale, ouvrez l'éditeur :

gpedit.msc

Accédez à : Configuration de l'ordinateur > Modèles d'administration > Composants Windows > Microsoft Defender Antivirus

Double-cliquez sur Désactiver Microsoft Defender Antivirus et réglez-le sur Activé. Cliquez sur OK.

Pour désactiver la protection supplémentaire, accédez au sous-dossier Protection en temps réel et activez ces politiques :

• Désactiver la protection en temps réel
• Désactiver la surveillance du comportement
• Désactiver l'analyse des processus

Appliquez les modifications immédiatement :

gpupdate /force

Vérifiez que la politique a été appliquée correctement :

Get-MpPreference | Select-Object DisableRealtimeMonitoring, DisableBehaviorMonitoring

Les deux valeurs doivent afficher True. Vérifiez également que le Centre de sécurité Windows indique que Defender est désactivé.

L'édition du registre offre le contrôle le plus granulaire sur les paramètres de Defender. Utilisez cette méthode lorsque vous avez besoin de configurations spécifiques ou lorsque d'autres méthodes ne fonctionnent pas.

Ouvrez l'Éditeur du Registre en tant qu'Administrateur :

regedit

Accédez à : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

Si la clé Windows Defender n'existe pas, créez-la. Faites un clic droit et créez ces valeurs DWORD (32 bits) :

DisableAntiSpyware = 1
DisableAntiVirus = 1
DisableRealtimeMonitoring = 1

Pour les serveurs utilisant Microsoft Defender for Endpoint, accédez à :

Créez la valeur DWORD :

ForceDefenderPassiveMode = 1

Cela met Defender en mode passif, permettant à Defender for Endpoint de fonctionner tout en désactivant l'analyse locale.

Redémarrez le serveur pour appliquer les modifications du registre :

Restart-Computer -Force

Après le redémarrage, vérifiez les modifications :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name DisableAntiSpyware

Pour les administrateurs qui préfèrent les méthodes GUI, vous pouvez supprimer Defender via le Gestionnaire de serveur. Cette méthode fonctionne de manière identique à la désinstallation PowerShell mais utilise l'interface graphique.

Ouvrez le Gestionnaire de serveur et cliquez sur Gérer > Supprimer des rôles et fonctionnalités.

Cliquez sur Suivant dans l'assistant jusqu'à atteindre la page Fonctionnalités. Décochez Fonctionnalités de Windows Defender et tous les sous-composants :

• GUI pour Windows Defender
• Windows Defender
• Module PowerShell de Windows Defender

Cliquez sur Suivant puis sur Supprimer. L'assistant demandera un redémarrage.

Après le redémarrage, vérifiez la suppression via PowerShell :

Get-WindowsFeature -Name Windows-Defender-Features

La fonctionnalité devrait afficher InstallState : Removed.

Immédiatement après avoir désactivé Defender, installez votre solution antivirus alternative. L'écart de sécurité entre la désactivation de Defender et l'installation de la protection de remplacement doit être minimisé.

Installez l'antivirus d'entreprise choisi en suivant la documentation du fournisseur. Les solutions d'entreprise courantes incluent :

• Symantec Endpoint Protection
• CrowdStrike Falcon
• SentinelOne
• Trend Micro Deep Security

Après l'installation, vérifiez que le nouvel antivirus est actif :

Get-Service | Where-Object {$_.DisplayName -like "*antivirus*" -or $_.DisplayName -like "*endpoint*"}

Testez la fonctionnalité de l'antivirus en téléchargeant le fichier de test EICAR (virus de test sûr) :

Invoke-WebRequest -Uri "https://www.eicar.org/download/eicar.com.txt" -OutFile "C:\temp\eicar.txt"

Votre nouvel antivirus devrait immédiatement détecter et mettre en quarantaine ce fichier de test. Si ce n'est pas le cas, vérifiez la configuration de l'antivirus et assurez-vous que la protection en temps réel est activée.

Configurez les politiques de l'antivirus selon les exigences de sécurité de votre organisation, y compris :

• Paramètres de balayage en temps réel
• Heures de balayage planifiées
• Exclusions pour les applications serveur
• Configuration des rapports et des alertes

Effectuez une vérification complète pour vous assurer que Defender est complètement désactivé et que votre serveur reste sécurisé avec la nouvelle solution antivirus.

Vérifiez qu'aucun service Defender n'est en cours d'exécution :

Get-Service | Where-Object {$_.Name -like "*Defender*" -or $_.Name -like "*WinDefend*"}

Vérifiez que les fonctionnalités de Defender sont supprimées :

Get-WindowsFeature | Where-Object {$_.Name -like "*Defender*"}

Vérifiez l'état du Centre de sécurité Windows :

Get-WmiObject -Namespace "root\SecurityCenter2" -Class AntiVirusProduct | Select-Object displayName, productState

La sortie devrait montrer votre nouvel antivirus comme la protection active, et non Windows Defender.

Testez les performances du système pour vous assurer que le nouvel antivirus ne cause pas de conflits :

Get-Process | Sort-Object CPU -Descending | Select-Object -First 10 ProcessName, CPU, WorkingSet

Surveillez toute utilisation inhabituelle du CPU ou de la mémoire par les processus antivirus.

Enfin, vérifiez les journaux d'événements Windows pour toute erreur liée à Defender :

Get-EventLog -LogName System -Source "*Defender*" -Newest 10 -ErrorAction SilentlyContinue

Si cela ne renvoie aucun résultat ou seulement des événements informatifs concernant la désactivation de Defender, la suppression a été réussie.