Désactiver définitivement Windows Defender (Antimalware Service Executable) sous Windows 11 : méthodes fiables, risques et alternatives

Vous cherchez à neutraliser durablement Antimalware Service Executable (Microsoft Defender) sous Windows 11 ? Voici un guide clair, pragmatique et orienté risques pour décider en connaissance de cause, avec des procédures concrètes et des alternatives plus sûres.

Peut‑on désactiver définitivement Antimalware Service Executable (Windows Defender) sous Windows 11 ?

Problématique

Depuis Windows 11, la stratégie historique de Windows 10 (clé de Registre DisableAntiSpyware=1) ne sert plus à grand‑chose : elle est ignorée et/ou supprimée au redémarrage par la Tamper Protection (protection contre les falsifications). Autrement dit, toute tentative « simple » finit par être annulée par le système. L’objectif de cet article est de présenter ce qui fonctionne vraiment pour faire tourner un PC sans antivirus résident, en explicitant les compromis, les effets de bord et la marche arrière.

Résumé exécutif

• Oui, on peut neutraliser durablement Defender sous Windows 11, mais jamais sans compromis : stabilité, surface d’attaque, conformité et fonctionnalités Windows peuvent être affectées.
• Approche la plus directe (grand public) : un utilitaire portable comme Defender Control v2.1, sous réserve de désactiver la Tamper Protection et d’accepter les risques.
• Approche « propre » en entreprise : stratégie de groupe (GPO) et/ou gestion MDM, avec Tamper Protection gérée de manière centralisée. N’est pas disponible sur l’édition Home.
• Alternative pragmatique : conserver Defender mais élargir les exclusions ou ne couper que la protection temps réel pour une session donnée.

Solutions pratiques recensées

Approche	Procédure synthétique	Persistance après redémarrage	Remarques
Defender Control v2.1 (outil portable)	1. Télécharger l’archive .rar 2. Extraire avec 7‑Zip/WinRAR 3. Lancer DefenderControl.exe → Disable Windows Defender	Oui, tant que l’outil n’est pas ré‑exécuté en mode « Enable ». Vous pouvez placer l’exécutable dans le dossier de démarrage pour automatiser.	Modifie services, tâches planifiées et clés de registre. Les détections de l’outil par Defender sont des faux positifs connus.
Installer un antivirus tiers	L’installation d’un AV compatible (Bitdefender, Kaspersky, etc.) désactive automatiquement Windows Defender.	Oui, tant que l’AV tiers reste installé et actif.	Exige de faire confiance à une autre solution ; pas d’option « sans antivirus ».
Éditions Pro/Entreprise : Stratégie de Groupe	gpedit.msc → Configuration ordinateur > Modèles d’administration > Composants Windows > Microsoft Defender Antivirus > Désactiver Microsoft Defender Antivirus → Activé	Généralement oui, mais Windows peut réactiver Defender lors de grosses mises à jour si la Tamper Protection n’est pas aussi désactivée.	Inaccessible sur l’édition Home.
PowerShell / Paramètres Windows Sécurité	Set-MpPreference -DisableRealtimeMonitoring $true ou Sécurité Windows > Gestion des menaces > Protection en temps réel : désactivée	Non : limité à la session ou quelques heures.	Méthode la plus simple mais non permanente.

Points d’attention essentiels avant d’agir

• Tamper Protection (activée par défaut) restaure Defender et ses clés. Pour toute méthode manuelle, désactivez‑la d’abord :
  Paramètres > Confidentialité et sécurité > Sécurité Windows > Protection contre les virus et menaces > Paramètres de protection contre les falsifications.
• Microsoft déconseille toute désactivation définitive ; des fonctionnalités comme SmartScreen, Protection de la mémoire, Sécurité du noyau (HVCI) s’imbriquent avec Defender.
• Modèle d’usage : privilégiez un compte non‑administrateur au quotidien, même si Defender est inactif.
• Secours hors‑ligne : conservez une clé USB avec un outil d’analyse offline pour des contrôles ponctuels.

Pourquoi la clé DisableAntiSpyware ne marche plus

À partir de Windows 10 1903 et, plus encore, sous Windows 11, la clé de Registre DisableAntiSpyware a été dépréciée : Defender ignore la valeur et la Tamper Protection supprime toute altération jugée illégitime. Par ailleurs, le service WinDefend fonctionne en mode Protected Process Light (PPL) : même un administrateur local ne peut pas l’arrêter de façon « classique ». Concrètement, un simple script Registre/PowerShell ne suffit plus pour « tuer » durablement Defender.

Procédures détaillées

Option A : Utilitaire portable Defender Control v2.1

Quand l’utiliser ? Sur un poste personnel isolé, en labo ou pour des tests de performance incompatibles avec un antivirus temps réel. Évitez en environnement d’entreprise ou sur une machine exposée à Internet sans autres contrôles compensatoires.

1. Désactiver Tamper Protection : ouvrez Sécurité Windows → Protection contre les virus et menaces → Paramètres de protection contre les falsifications → Désactivé.
2. Exécuter l’outil : lancez DefenderControl.exe puis choisissez Disable Windows Defender.
3. Vérifier : le processus MsMpEng.exe ne doit plus monopoliser de CPU/RAM, l’icône Sécurité Windows indiquera un état non protégé.
4. Automatiser (facultatif) : placez l’exécutable dans shell:startup pour réappliquer l’état au démarrage si une mise à jour Windows réactive Defender.

Avantages : rapide, sans installation, réversible. Limites : déclenche des alertes (faux positifs), peut être annulé par certaines mises à jour, et modifie des éléments sensibles (services, tâches, Registre).

Option B : Installer un antivirus tiers

Windows ne fait tourner qu’un seul moteur antivirus résident. Installer un produit tiers compatible remplace Defender. C’est la manière « supportée » de le désactiver, mais cela n’atteint pas l’objectif « zéro antivirus » : vous substituez un produit à un autre. C’est toutefois pertinent si vous souhaitez seulement écarter MsMpEng.exe pour des raisons de performance.

Option C : Stratégie de Groupe (GPO) — Windows 11 Pro/Entreprise

Pour un contrôle pérenne et audit-able :

1. Win + R → gpedit.msc.
2. Accédez à :
   Configuration ordinateur > Modèles d’administration > Composants Windows > Microsoft Defender Antivirus > Désactiver Microsoft Defender Antivirus.
3. Définissez sur Activé.
4. Important : si la Tamper Protection est active, certaines politiques seront ignorées. Désactivez‑la également (localement ou via MDM/Intune/GPO si géré).
5. Forcez l’actualisation : gpupdate /force puis redémarrez.

Note : lors de mises à jour majeures, Windows peut rétablir des paramètres de sécurité. Surveillez cet aspect après chaque mise à niveau (version, build).

Option D : PowerShell / Paramètres — coupe temporaire

Pour une session de test courte :

PowerShell (admin)
Set-MpPreference -DisableRealtimeMonitoring $true

ou via l’interface :
Sécurité Windows > Gestion des menaces > Protection en temps réel → Désactivé.

Limitation : Windows réactive la protection en temps réel automatiquement (après redémarrage, délai, ou changement de contexte). À utiliser comme un coupe‑circuit provisoire, pas comme désactivation « définitive ».

Checklist de vérification après désactivation

Après avoir appliqué l’une des méthodes « durables », validez l’état réel du système :

• Processus : MsMpEng.exe absent ou inactif (Gestionnaire des tâches > onglet Processus & Détails).
• Services : WinDefend non démarré. Attention : en PPL, l’état peut être « en lecture seule ».
• Tâches planifiées : dans Task Scheduler, vérifiez les dossiers Microsoft > Windows > Windows Defender et Windows Defender Security Center.
• Centre de sécurité Windows : l’état doit mentionner une protection désactivée ou fournie par un autre produit (si AV tiers installé).
• Journal d’événements : Applications et services > Microsoft > Windows > Windows Defender* — recherchez des réactivations ou erreurs associées.

Impacts possibles et effets de bord

• Surface d’attaque accrue : sans bouclier temps réel, un simple téléchargement peut compromettre la machine si d’autres couches (navigateur, sandbox) ne suffisent pas.
• Fonctionnalités Windows dépendantes : SmartScreen (filtrage applications/navigations), Cloud‑delivered protection, Contrôle des applications (WDAC) peuvent fonctionner différemment ou être partiellement indisponibles.
• Conformité : en entreprise, la désactivation peut contrevenir aux politiques internes, audits et exigences de cyber‑assurance.
• Performances : le gain n’est pas toujours aussi grand qu’attendu ; profilers et exclusions ciblées sont parfois plus efficaces que la neutralisation totale.

Alternatives plus sûres que la désactivation totale

Élargir les exclusions Defender

Approche « chirurgicale » : conserver l’antivirus mais exclure des dossiers/outils lourds (build, VM, caches) :

PowerShell (admin)
# Exclure un dossier de build
Add-MpPreference -ExclusionPath "D:\Work\Build"
# Exclure un processus (ex. compilateur)
Add-MpPreference -ExclusionProcess "C:\Tools\compiler.exe"
# Lister les exclusions actuelles
Get-MpPreference | Select-Object Exclusion*

Limiter l’exposition réseau

• Utilisez des comptes standards au quotidien, réservez l’administrateur pour les installations.
• Activez un navigateur isolé (mode Invité/Container) pour le téléchargement ponctuel de fichiers.
• Maintenez le système et les pilotes à jour, même si Defender est inactif.

Segmenter vos usages

• VM dédiées : effectuez les tâches sensibles dans une machine virtuelle (Hyper‑V/VirtualBox/VMware) dont l’instantané peut être restauré en un clic.
• Dual‑boot : un OS minimal « build/benchmark » séparé de votre OS principal.
• Poste hors‑ligne : pour l’exécution de binaires non‑fiables, déconnectez le réseau le temps des tests.

Résolution des cas d’échec : pourquoi Defender « revient »

Malgré une désactivation apparente, Defender peut se réactiver. Causes typiques :

1. Tamper Protection réactivée automatiquement après mise à jour ou connexion compte Microsoft/Entra.
2. Windows Update : certaines builds réinitialisent les paramètres de sécurité.
3. Fournisseur de sécurité Windows (WSC) détecte l’absence d’AV et tente d’enregistrer Defender comme fournisseur par défaut.
4. Scripts de durcissement ou solutions EDR/MDM d’entreprise réimposent une configuration sécurisée.

Parades : répéter la désactivation après mises à jour majeures, automatiser au démarrage (outil portable), ou adopter une solution de remplacement « officielle » (AV tiers) si votre seul objectif est de supprimer la charge de MsMpEng.exe.

Méthodologie d’évaluation : valider le bénéfice réel

Avant d’opter pour une neutralisation définitive, mesurez objectivement l’impact sur vos workflows :

• Moniteurs de ressources : comparez l’utilisation CPU/RAM de MsMpEng.exe sur 1 heure d’activité typique (build, tests, IDE, VM).
• Compilations / pipelines : chronométrez un build complet avec et sans exclusions ciblées, puis avec la protection temps réel temporairement coupée.
• Scans I/O : exécutez un file I/O benchmark (copies massives, extraction d’archives) avec et sans Defender pour objectiver les gains.

Bonnes pratiques si vous persistez à désactiver

• Snapshots fréquents (points de restauration/VM) avant toute manipulation de sécurité.
• Backups immuables (cloud ou NAS WORM) pour éviter le chiffrement par ransomware.
• Principe du moindre privilège : n’exécutez pas de navigateur/clients mail avec des droits admin.
• Échantillonnage manuel : uploadez/validez les binaires critiques avec un scanner offline avant exécution sur le poste « nu ».

FAQ

La désactivation totale casse‑t‑elle SmartScreen ?

SmartScreen (filtrage d’applications/navigations) est un composant à part, mais son efficacité pratique est souvent couplée aux services de sécurité Microsoft. Si vous désactivez largement Defender, vérifiez l’état de SmartScreen dans Paramètres > Confidentialité et sécurité > Sécurité Windows > Contrôle des applications et du navigateur.

Quid du pare‑feu Windows ?

Le pare‑feu Windows (Défender Firewall) est distinct du moteur antivirus. Vous pouvez laisser le pare‑feu actif même si l’antivirus est neutralisé. C’est fortement recommandé.

Comment réactiver rapidement Defender ?

Deux options : relancer l’outil (bouton Enable) ou, si vous avez utilisé une GPO/PowerShell, rétablir les paramètres par défaut (Set-MpPreference -DisableRealtimeMonitoring $false) et réactiver la Tamper Protection. Un redémarrage peut être requis.

Et en entreprise (Intune/MDM) ?

La configuration est pilotée par politiques de conformité. Si l’appareil est joint à Entra/Intune, une désactivation locale sera généralement rétablie automatiquement. Agissez via les canaux officiels (MDM/GPO) et documentez les contrôles compensatoires.

Pas à pas : scénario « zéro antivirus résident » sur un poste personnel

1. Inventorier l’exposition : listez vos usages (navigateur, jeux, IDE, VM), vos sources de logiciels et vos données critiques.
2. Préparer les sauvegardes : image système + sauvegarde de vos documents (3‑2‑1).
3. Désactiver Tamper Protection (cf. plus haut).
4. Appliquer la méthode choisie : outil portable, GPO ou coupe temporaire.
5. Vérifier l’état (processus/services, Centre de sécurité, journaux événements).
6. Mettre en place des exclusions réseau (navigateur isolé, séparer navigation et travail).
7. Programmer des scans ponctuels hors‑ligne (clé USB) selon une fréquence adaptée à votre risque.
8. Surveiller après mises à jour majeures (build Windows, driver GPU, .NET) et réappliquer si nécessaire.

Encadré légal et responsabilité

La désactivation d’un antivirus peut contrevenir à des politiques de sécurité (entreprise/éducation) et à des exigences réglementaires. Cet article vise un usage légitime (tests, laboratoire, postes personnels) et ne constitue ni une recommandation universelle ni un engagement de résultat. Vous êtes seul responsable des conséquences sur la sécurité et l’intégrité de vos données.

Conclusion

Sous Windows 11, Defender Control demeure la voie la plus simple pour neutraliser durablement Windows Defender sans installer un antivirus tiers, au prix d’un maintien opérationnel : gestion de la Tamper Protection, réapparitions après mise à jour et vigilance accrue côté sécurité. Les méthodes purement manuelles (Registre/PowerShell) sont temporaires ou réservées aux éditions Pro via stratégie de groupe. Pour la plupart des utilisateurs, une approche équilibrée — exclusions bien ciblées, coupe temps réel à la demande, et couches de défense complémentaires (pare‑feu, navigateur isolé, backups immuables) — offre un meilleur compromis entre performance et sécurité.

Annexe : aide‑mémoire (commandes utiles)

# Couper seulement la protection en temps réel (temporaire)
Set-MpPreference -DisableRealtimeMonitoring $true

# Réactiver la protection en temps réel

Set-MpPreference -DisableRealtimeMonitoring $false

# Lister les préférences Defender (dont exclusions)

Get-MpPreference | Format-List *

# Ajouter des exclusions ciblées

Add-MpPreference -ExclusionPath "D:\VMs"
Add-MpPreference -ExclusionProcess "C:\Outils\monbuild.exe"

# Forcer la mise à jour des stratégies (si GPO)

gpupdate /force 

---

TL;DR

• Objectif : PC sans antivirus résident (MsMpEng.exe à l’arrêt).
• Ce qui marche : utilitaire portable (Defender Control), GPO (Pro/Entreprise), AV tiers (remplacement).
• Ce qui ne marche plus : clé Registre DisableAntiSpyware seule.
• À surveiller : Tamper Protection, mises à jour Windows, WSC.
• Alternative prudente : exclusions précises + coupe temporaire.