Windows Defender protège correctement un poste standard, mais ses réglages par défaut laissent des angles morts exploitables. Le moteur antimalware, les privilèges SYSTEM et les politiques de groupe qui encadrent l’antivirus constituent des cibles plus rentables pour un attaquant que l’interface de Sécurité Windows elle-même. Nous détaillons ici les réglages concrets qui verrouillent ces surfaces d’attaque.
Moteur antimalware et privilèges SYSTEM : la surface d’attaque que Windows Defender ne couvre pas seul
Le service Antimalware Service Executable (MsMpEng.exe) tourne avec des privilèges SYSTEM. Un attaquant qui parvient à détourner ce processus, ou à le faire dysfonctionner, hérite du niveau de privilège le plus élevé du système.
A découvrir également : Meilleur antimalware gratuit : comparatif des solutions sécurisées en ligne
Le premier réflexe est de réduire la surface autour du moteur. La protection contre les falsifications (Tamper Protection) empêche un processus tiers de modifier les clés de registre de Defender ou de désactiver le service. Vérifiez son état dans Sécurité Windows, onglet Protection contre les virus et menaces, puis Paramètres de protection. Si ce réglage est désactivé, n’importe quel script PowerShell exécuté en administrateur peut couper l’antivirus en silence.
Nous recommandons aussi de contrôler qui accède au compte SYSTEM sur la machine. Un compte utilisateur standard, sans droits d’administration, limite drastiquement la capacité d’un malware à interagir avec MsMpEng.exe ou à modifier les stratégies locales de Defender.
A lire également : Installer l'antivirus avast gratuit facilement sur votre ordinateur

Stratégies de groupe et registre Windows : verrouiller les réglages de Defender contre les modifications
Sur une édition Pro ou Entreprise de Windows, l’éditeur de stratégie de groupe locale (gpedit.msc) expose des dizaines de paramètres qui contrôlent le comportement de Defender. Un logiciel malveillant disposant de droits administrateur peut écrire directement dans ces clés pour désactiver l’analyse en temps réel ou exclure un répertoire entier de la surveillance.
Clés de registre à surveiller
Le chemin HKLM\SOFTWARE\Policies\Microsoft\Windows Defender concentre les réglages critiques. La valeur DisableAntiSpyware, si elle passe à 1, coupe intégralement Defender. La sous-clé Real-Time Protection contient DisableRealtimeMonitoring. Sur un poste durci, ces valeurs doivent rester à 0 et leur modification doit déclencher une alerte.
Pour les postes gérés via Intune, les profils de stratégie antivirus permettent de forcer ces valeurs depuis la console d’administration et d’empêcher toute modification locale. Sur un poste personnel, la protection contre les falsifications remplit partiellement ce rôle, mais elle ne couvre pas tous les paramètres de politique de groupe.
Restreindre l’accès à gpedit et au registre
Sur un poste partagé ou familial, retirer les droits d’administration au compte courant reste la mesure la plus efficace. Sans élévation de privilèges, un attaquant ou un script ne peut pas modifier les stratégies locales. C’est un réglage simple qui protège bien au-delà de Defender : il bloque aussi l’installation de pilotes non signés, la modification du pare-feu et l’accès aux tâches planifiées système.
Réglages avancés de Windows Defender à activer manuellement
Plusieurs protections livrées avec Windows restent désactivées par défaut parce qu’elles peuvent générer des faux positifs ou bloquer des logiciels légitimes. Nous les activons systématiquement sur les postes que nous configurons.
- Accès contrôlé aux dossiers (protection anti-ransomware) : bloque toute application non approuvée qui tente de modifier les fichiers dans les répertoires Documents, Images, Bureau. Accessible depuis Sécurité Windows, onglet Protection contre les virus et menaces, puis Gérer la protection contre les ransomwares
- Protection contre les applications potentiellement indésirables (PUA) : filtre les logiciels qui ne sont pas strictement malveillants mais qui installent des barres d’outils, des adwares ou modifient le navigateur. À activer dans les paramètres de contrôle des applications et du navigateur
- Intégrité de la mémoire (HVCI) : utilise la virtualisation matérielle pour isoler les processus critiques du noyau. Ce réglage empêche un pilote compromis d’injecter du code dans l’espace noyau. Il se trouve dans Sécurité de l’appareil, puis Isolation du noyau
- Contrôle intelligent des applications (Smart App Control) : sur Windows 11, ce mécanisme bloque les exécutables non signés ou inconnus de la base de réputation Microsoft. Il fonctionne en mode évaluation avant de s’activer pleinement

Défense en couches autour de Windows Defender : pare-feu, comptes et mises à jour
Windows Defender gratuit couvre l’antivirus et l’antimalware. Il ne remplace pas une politique de sécurité complète. La logique de défense en couches s’applique même sur un poste personnel : chaque mesure compense une faiblesse potentielle de la précédente.
Le pare-feu Windows, activé par défaut, mérite une vérification. Assurez-vous que les trois profils (domaine, privé, public) sont actifs. Un logiciel installé peut avoir créé une règle entrante permissive que vous n’avez jamais validée consciemment. Un audit rapide des règles de pare-feu via wf.msc permet de repérer ces exceptions.
Mises à jour de sécurité et définitions
Les définitions antivirus de Defender se mettent à jour plusieurs fois par jour via Windows Update. Si les mises à jour automatiques sont désactivées ou retardées, le moteur travaille avec des signatures obsolètes. Vérifiez que Windows Update est réglé sur automatique sans report, particulièrement pour les mises à jour de définitions et les correctifs de sécurité.
Reporter les correctifs expose le système à des vulnérabilités activement exploitées, y compris celles qui ciblent le moteur antimalware lui-même.
Segmentation des comptes
Un compte administrateur utilisé au quotidien annule une partie des protections de Defender. Créez un compte standard pour l’usage courant et réservez le compte administrateur aux installations et modifications système. Ce cloisonnement limite la portée d’un malware qui s’exécuterait dans le contexte utilisateur.
- Compte standard pour la navigation web, la messagerie et les applications courantes
- Compte administrateur uniquement pour l’installation de logiciels et la modification de paramètres système
- Contrôle de compte utilisateur (UAC) réglé au niveau maximal pour forcer la confirmation manuelle de toute élévation de privilèges
Un Windows Defender correctement durci, combiné à des comptes cloisonnés et un pare-feu audité, offre un niveau de protection que la plupart des suites payantes ne dépassent pas sur un poste personnel. Le maillon faible reste rarement l’antivirus : ce sont les réglages par défaut que personne ne modifie.

