16/01/2026 · 5 min
Tamper Protection : protéger Microsoft Defender contre toute désactivation
Dans cet article, nous verrons pourquoi Tamper Protection est cruciale, comment l’activer à grande échelle via Microsoft Defender Security Center, et comment surveiller les tentatives de désactivation.
Tamper Protection Microsoft Defender : empêcher toute désactivation de l’antivirus
La désactivation de l’antivirus est l’une des premières actions effectuées par les malwares et ransomwares lors d’une compromission.
Dans un environnement Windows moderne, Tamper Protection joue un rôle clé en empêchant toute modification non autorisée des paramètres de Microsoft Defender, même par un administrateur local.
Cet article s’adresse aux DSI, RSSI et équipes IT, et détaille le fonctionnement, l’activation, la supervision et les bonnes pratiques autour de Tamper Protection.
Qu’est-ce que Tamper Protection dans Microsoft Defender ?
Tamper Protection est une fonctionnalité de sécurité intégrée à Microsoft Defender dont l’objectif est de bloquer toute tentative de modification des paramètres critiques de protection.
Une fois activée, elle empêche notamment :
- la désactivation de la protection en temps réel
- la désactivation de la surveillance comportementale
- la désactivation de la protection Cloud
- la désactivation de la soumission automatique d’échantillons
- la modification ou la suppression des mises à jour antivirus
Tamper Protection bloque ces actions même si elles sont exécutées via PowerShell, GPO ou avec un compte administrateur local.
👉 Cette protection est essentielle face aux menaces modernes qui tentent systématiquement de neutraliser l’antivirus avant toute phase d’attaque.
Pourquoi Tamper Protection est critique pour les organisations
Du point de vue sécurité :
- elle empêche les attaques dites living-off-the-land
- elle réduit l’impact des compromissions de comptes administrateurs
- elle empêche les ransomwares de désactiver Defender avant chiffrement
Du point de vue gouvernance IT :
- elle garantit l’intégrité de la configuration sécurité
- elle empêche les contournements locaux non maîtrisés
- elle renforce la posture Zero Trust sur les endpoints
Comment activer Tamper Protection via Microsoft Defender Security Center
⚠️ Tamper Protection ne peut être activée que via le portail Microsoft Defender Security Center.
Toute tentative d’activation locale est bloquée.
Activation au niveau de l’organisation
- Se connecter au Microsoft Defender Security Center
- Aller dans Settings > Endpoints > Advanced features
- Localiser Tamper Protection
- Activer la fonctionnalité
- Enregistrer la configuration
✅ Une fois activée, Tamper Protection s’applique automatiquement à tous les appareils éligibles et ne peut plus être désactivée localement.
Vérifier l’état de Tamper Protection via PowerShell
Même si l’activation est centralisée, il est possible de vérifier l’état localement.
powershell(Get-MpPreference).DisableTamperProtection
Interprétation
0→ Tamper Protection activée
1→ Tamper Protection désactivée
⚠️ Il est impossible de modifier cet état via PowerShell lorsque Tamper Protection est pilotée par le Microsoft Defender Security Center.
Désactiver temporairement Tamper Protection : mode Troubleshooting
Dans certains scénarios spécifiques (dépannage avancé, déploiement de logiciels sensibles, investigation sécurité), une désactivation temporaire de Tamper Protection peut être nécessaire.
Cette opération ne peut être réalisée que via le mode Troubleshooting dans Microsoft Defender Security Center.
Procédure d’activation du mode Troubleshooting
- Se connecter au Microsoft Defender Security Center
- Accéder à Devices (Appareils)
- Sélectionner l’appareil concerné
- Cliquer sur Turn on troubleshooting mode
- Durée maximale : 4 heures
⏱️ À l’issue de cette période, Tamper Protection est automatiquement réactivée.
⚠️ Ce mode doit être utilisé de manière exceptionnelle et sous supervision, car il réduit temporairement le niveau de protection de l’endpoint.
Supervision et détection des tentatives de désactivation
Journalisation Windows
Les tentatives de modification bloquées par Tamper Protection sont consignées dans l’Observateur d’événements Windows.
- Event ID :
5007
- Chemin :
Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational
Cet événement indique une tentative de modification des paramètres de Microsoft Defender qui a été bloquée.
Supervision via Microsoft Defender for Endpoint et Microsoft Sentinel
Dans un environnement utilisant Microsoft Defender for Endpoint (MDE), ces événements sont centralisés dans la console Defender.
Ils peuvent ensuite être exploités dans Microsoft Sentinel afin de :
- détecter des tentatives de compromission ciblées
- corréler avec des événements de privilèges élevés
- enrichir des règles de détection SOC
Bonnes pratiques SOC / RSSI
- activer des alertes sur les événements de falsification
- surveiller les répétitions sur un même endpoint
- corréler avec des tentatives d’escalade de privilèges
Conclusion
Tamper Protection est un composant essentiel de la sécurité des endpoints Windows.
Elle empêche toute tentative de neutralisation de Microsoft Defender, volontaire ou malveillante.
Pour les DSI, RSSI et équipes sécurité, son activation garantit l’intégrité de la configuration antivirus et renforce la posture de défense face aux menaces avancées.
Points clés à retenir
- empêche toute modification non autorisée de Microsoft Defender
- bloque les tentatives de désactivation par malware ou ransomware
- ne peut pas être contournée localement
- se pilote exclusivement via Microsoft Defender Security Center
- désactivation temporaire possible, strictement encadrée (4h max)
Besoin d’approfondir la sécurité Microsoft Defender, Intune ou Microsoft Sentinel ?
Consultez mes autres articles ou contactez-moi pour échanger sur vos enjeux sécurité.