Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Windows 10 : la préversion 17672 isole les antivirus

Windows 10 : la préversion 17672 isole les antivirus

Le 17 mai 2018 à 09h41

La dernière build du canal rapide pour les testeurs du programme Insider réclame aux antivirus de passer en processus protégés s'ils veulent être reconnus comme tels.

Les « protected process » sont un mécanisme introduit dans Windows 8.1, avec les logiciels anti-malware en ligne de mire. L'idée était de leur fournir une protection supplémentaire, puisqu'ils étaient souvent la cible eux-mêmes d'attaques.

La prochaine version de Windows, attendue pour septembre/octobre, généralisera ces processus protégés. Si les éditeurs ne rendent pas leurs produits compatibles, l'interface Windows Sécurité ne les reconnaîtra pas et Defender continuera de fonctionner à leurs côtés.

Actuellement, il suffit qu'un antivirus se déclare auprès de Windows pour désactiver Defender et être reconnu comme solution de sécurité principale. Tant que le changement est testé, il peut être désactivé en créant une clé de registre :

HKLM\SOFTWARE\Microsoft\Security Center\Feature
DisableAvCheck (DWORD)= 1

Cette possibilité disparaîtra avec l'approche de la version finale.

Le 17 mai 2018 à 09h41

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ce n’est pas un mythe que Windows Defender se désactive quand un autre anti-virus est présent ?

Au boulot, j’ai cette bouse inter-sidéral de Sophos qui met littéralement à plat mon ordi dès qu’il y a un accès disque ; mais en plus dans le gestionnaire des tâches je vois que le processus de Windows Defender fait la course avec Sophos et ce malgré que Windows Defender est bien désactivé dans les Settings… <img data-src=" />

votre avatar

Il me semble que quand on le désactive dans les Paramètres, il est marqué à côté que ça ne le fait que jusqu’au prochain reboot. En tout cas, depuis sa sortie ça a toujours été que ce temps là. 




 Je crois même que depuis Fall Creators, il doit se réactiver au bout de quelques heures (au minimum, c'est le cas de Windows Update où la coupure du service même ne suffit plus à l'arrêter, c'est redémarré au bout d'un temps).       







  Il faut forcer la main par une GPO. Sinon des modifications registre et de planificateur de tâche adhoc pour que l'option passe en mode "réglage d'entreprise" et donc soit respecté.
votre avatar

Moi c’est pareil sur les machines win 10, j’ai l’antivirus webroot installé sur ces postes, mais j’ai toujours l’icône windows defender qui s’affiche dans la barre des tâches


votre avatar







xillibit a écrit :



Moi c’est pareil sur les machines win 10, j’ai l’antivirus webroot installé sur ces postes, mais j’ai toujours l’icône windows defender qui s’affiche dans la barre des tâches





Attention ! Avoir l’icône dans la barre des tâches ne veut pas dire que l’antivirus de Windows 10 tourne en même temps que celui de l’autre éditeur.

Il faut savoir que l’icône dans Windows 10 représente le “Centre de sécurité” (qui est donc un melting pot de plusieurs outils de sécurité, Firewall inclus).


votre avatar

Perso j’utilise Windows Defender, qui fait suffisamment bien le job pour ne pas avoir besoin de claquer des thunes dans un antivirus. De nos jour les antivirus ne sont plus vraiment utiles, pour peu qu’on ait une hygiène numérique correcte.

votre avatar

Un argument pratiquement aussi ancien et aussi valide que, minimes altérations :

“De nos jour la vaccination n’est plus vraiment utile, pour peu qu’on ait une hygiène correcte.”

votre avatar

Ok troll spotted. Qu’est-ce qu’il faut pas lire…

votre avatar







Freeben666 a écrit :



Ok troll spotted. Qu’est-ce qu’il faut pas lire…



Ce n’était clairement pas un troll, le message de Sabinoo était dans la même veine que le tien.

Quand tu n’as pas d’AV tu peux très bien avoir des virus ou des vers sans t’en rendre compte même en faisant attention, tout comme quand tu ne fais pas de vaccin tu peux choper des merdes sans t’en rendre compte (en étant porteur sain, et contaminer les autres au passage).



J’ai beau savoir ce que je fais sur mon poste et les comportements à risque que je pourrais prendre ou pas, pourtant il reste hors de question que je me passe d’AV (même quand je basculerai sur Linux j’en aurai sûrement un, pour ne pas contaminer les utilisateurs Windows).


votre avatar

Tu remarqueras que je n’ai pas dit de se passer d’AV, mais que Defender est largement suffisant, nuance.



Et l’analogie avec les vaccins est juste mauvaise. On vaccine contre quelques maladies à très haut risque, mais pour tout le reste on laisse notre système immunitaire se débrouiller (ou alors on aimerait bien avoir un vaccin, mais on n’y arrive pas).

Le but de l’AV c’est d’être le système immunitaire, pas un vaccin, et franchement là dessus Defender suffit (oui je me répète). Avoir Kaspersky (ou autre) au lieu de Defender va peut-être améliorer la rapidité de déploiement de nouvelles signatures, mais on sera toujours vulnérable aux menaces 0-day, ou à toute autre menace dont la signature n’est pas dans la base de données de l’antivirus spécifique qu’on utilise. Tu as des kits clés en main en vente pour pas si cher que ça qui te permettent de générer ta propre charge virale indétectable (ça rempaquette le même virus à chaque fois, mais avec une signature différente). Bref même un script-kiddie peut passer outre ton AV.



Pour ma part, la sécurité informatique c’est mon boulot. Je connais et j’applique toutes les bonnes pratiques, et si jamais je veux ouvrir un truc douteux, j’ai des VM (ainsi qu’un PC) rien que pour ça. J’ai bien moins de risque de choper quoi que ce soit que quelqu’un qui dispose du meilleur AV mais fait n’importe quoi.

votre avatar

Et le petit troll à la fin sur l’AV Linux pour ne pas contaminer les utilisateurs Windows <img data-src=" />

Mais il existe des virus sous Linux également ;-)

votre avatar







Freeben666 a écrit :



Tu remarqueras que je n’ai pas dit de se passer d’AV, mais que Defender est largement suffisant, nuance.



Je ne dois pas savoir lire correctement alors :





Freeben666 a écrit :



De nos jour les antivirus ne sont plus vraiment utiles, pour peu qu’on ait une hygiène numérique correcte.



votre avatar

Tu as lu correctement, mais tu as interprété bizarrement. “Pas vraiment utiles” ne veut pas dire “débarrassez-vous en tout de suite”.

Mais je dois reconnaître qu’en écrivant la phrase en question, je pensais “[…]les anti-virus autres que celui fourni avec le système ne sont plus vraiment utiles[…]”.

votre avatar

Et franchement su un comm’ de 2 phrases n’en citer qu’une (la seconde) parce qu’elle t’arrange alors que la première montre clairement que je suis cohérent dans mes propos, c’est légèrement malhonnête ;)

votre avatar







Freeben666 a écrit :



Et le petit troll à la fin sur l’AV Linux pour ne pas contaminer les utilisateurs Windows <img data-src=" />



Oh punaise. Heureusement que tu as précisé que la sécurité informatique c’est ton taf, sinon j’aurais affirmé que tu étais un kissiconnait (bon tu me diras, l’un n’empêche pas l’autre)…

Sortir une débilité pareille, c’est beau. Ca doit être pour ca qu’il existe ClamAV, AV Linux qui visent les virus Windows, hein.









Freeben666 a écrit :



Et franchement su un comm’ de 2 phrases n’en citer qu’une (la seconde) parce qu’elle t’arrange alors que la première montre clairement que je suis cohérent dans mes propos, c’est légèrement malhonnête ;)



Justement non, tu n’es pas cohérent pour un sou. Entre ton “suffit d’avoir une bonne hygiène pour ne plus vraiment en avoir besoin” et ta phrase que j’ai cité juste au-dessus…


votre avatar

Euh t’es iddiot ou tu le fais exprès. Encore une fois, tu choisis une phrase sur deux, enlevant de ce fait tout sens à mon commentaire. Bien sûr que je connais ClamAV, je l’utilise même (sur mon serveur mail notamment). Lis la deuxième phrase du commentaire avant de dire des inepties.



Bref, merci d’arrêter le troll ;)

votre avatar







Freeben666 a écrit :



Euh t’es iddiot ou tu le fais exprès. Encore une fois, tu choisis une phrase sur deux, enlevant de ce fait tout sens à mon commentaire. Bien sûr que je connais ClamAV, je l’utilise même (sur mon serveur mail notamment). Lis la deuxième phrase du commentaire avant de dire des inepties.



Bref, merci d’arrêter le troll ;)



Apprends à être clair et ne plus dire d’ânerie une phrase sur 2, et j’arrêterai de citer une phrase sur 2… <img data-src=" />

En même temps je comprends, c’est difficile pour un kissiconnait de pas en sortir sans se faire prendre bêtement.


votre avatar

Ok vu que t’es con je vais t’expliquer mon commentaire : dans ton propre commentaire tu sous-entendais que la seule utilité de l’antivirus sous Linux est de protéger les postes qui auraient la malchance d’être sous Windows. (je sais bien que tu ne l’as pas écris directement en ces termes, mais relis toi et tu verras que c’est ce qu’on en retire). Ce à que je te réponds que tu es un troll et qu’il existe aussi des virus sous Linux, et non que l’antivirus Linux ne peut pas servir à protéger les contacts sous Windows.



Bref, apprend à réfléchir avant de répondre (et de réfléchir en lisant les comm’ des autre aussi, ça peut servir).

votre avatar







xillibit a écrit :



Moi c’est pareil sur les machines win 10, j’ai l’antivirus webroot installé sur ces postes, mais j’ai toujours l’icône windows defender qui s’affiche dans la barre des tâches





Gestionnaire des tâches (Ctrl + Maj + Echap) -&gt; Démarrage -&gt; Désactiver “Windows Defender notification icon”

Attention, ça n’enlève que l’icône dans la zone de notification. Ça ne désactive pas Windows Defender.


votre avatar







Freeben666 a écrit :



Ok vu que je suis con



J’ai corrigé <img data-src=" />

(L’attaque ad hominem, c’est quand on est en tort et qu’on est à court d’argument. Donc merci de prouver ce que je disais, Kissiconnait)


votre avatar

Rappelle moi qui a commencé avec les attaques ad hominem ? Merci de bien mettre en avant que tu n’as aucun argument depuis le début

votre avatar



L’idée était de leur fournir une protection supplémentaire, puisqu’ils étaient souvent la cible eux-mêmes d’attaques.





Windows ferait mieux de travailler sur l’isolation des applications/fichiers de l’utilisateurs plutôt que sur l’isolation des processus des vendeurs d’antivirus.



Les attaques actuelles sont majoritairement des ransomware/spyware qui s’exécutent avec les droits de l’utilisateur et accèdent à des données de l’utilisateur. Ce sont donc des opérations totalement “légales” vu par un antivirus classique (sauf a avoir des fonctions HIPS/HIDS). D’ailleurs j’ai pas souvenir que les derniers ransomware qui ont défrayé la chronique s’attaquaient aux antivirus.

votre avatar







Freeben666 a écrit :



Ok vu que t’es con





Fais comme moi man, mets le en filtré !



Perso j’ai une douzaine de personnes en ignore list, et ça suffit à filtrer plus de 50% des commentaires. Les mêmes sont responsables de la majorités des commentaires, et comme tu l’as remarqué, ce n’est pas parce qu’ils ont des choses intéressantes à dire…



Dommage que la modération ici ne soit là que pour censuré ce qui est illégale et pas pour garder les commentaires intéressants en limitant les pugilats comme tu viens d’en faire l’expérience ^^


votre avatar







Freeben666 a écrit :



Rappelle moi qui a commencé avec les attaques ad hominem ? Merci de bien mettre en avant que tu n’as aucun argument depuis le début



Mais ouai, c’est moi qui ai dit que les AV étaient inutiles sur Win comme Linux, tu as entièrement raison <img data-src=" />

Et tu as raison aussi, appeler un kissiconnait “kissiconnait” c’est une attaque ad hominem. Tout comme te montrer tes débilités n’est pas argumenter <img data-src=" />

J’arrête là, Kissiconnait. Si tu veux continuer à sortir tes conneries, ca sera dans le vide.


votre avatar

C’est ce que j’ai fini par faire. Franchement un gros blaireau qui ne sait rien faire d’autre que déformer les propos des gens pour créer du conflit… Bref un troll de base.



Heureusement que ça ne représente qu’une faible partie des commentaires.

votre avatar

Il y a quand même eu un certain nombre de cas de vulnérabilités dans des antivirus (notamment des RCE), ce qui est plutôt ironique, donc ça vaut le coup de s’en préoccuper. Bon en même temps il faudrait faire ça pour tous les logiciels avec accès réseau et tournant avec des privilèges élevés.



Il y a également eu des cas de virus bloquant les mises à jours des protections antivirales (ou même l’installation de nouveaux AV).

votre avatar

Hey les gars, y’a un système de blacklist sur ce site, perso’ Patch était déjà dans ma liste. ;-) (et j’y rajoute Sabinoo)

votre avatar

Aujourd’hui, un antivirus qui ne se base que sur un système de signatures est largement dépassé par les menaces 0-day. Les grands développeurs d’antivirus se basent actuellement sur les analyses heuristiques et comportementales des menaces. Kaspersky ou bitdefender peuvent actuellement bloquer un ransomware sans qu’il soit détecté dans leur base. Simplement en analysant son comportement.



Test de Kaspersky :

&nbsp;

youtube.com YouTube&nbsp;



Test de Bitdefender :



youtube.com YouTube

votre avatar

Oui les antivirus les plus aboutis font de l’analyse heuristique, mais c’est loin d’être parfait, et ça mange pas mal de ressources.

votre avatar

Note à l’auteur, Les “protected process” sont apparus sous Vista( c’est cité dans ton lien). C’est son utilisation pour le module antimalware qui date de Windows 8.1.



Ils étaient utilisés à l’époque dans le système DRM de Vista et j’en avais parlé dans le dossier sur Vista de NXI à l’époque. Ces processus obtiennent des droits bridés qui empêche la lecture/écriture du processus mais aussi l’injection. La signature est aussi obligatoire.

votre avatar

+1

Microsoft se soucierait de la sécurité de son OS, il interdirait la création de compte utilisateurs avec des droits d’administration.

Windows 10 : la préversion 17672 isole les antivirus

Fermer