Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
Les surfaces d’attaque sont tous les endroits où votre organization est vulnérable aux cybermenaces et aux attaques. Réduire votre surface d’attaque signifie protéger les appareils et le réseau de votre organization, ce qui laisse aux attaquants moins de moyens d’attaque. La configuration Microsoft Defender pour point de terminaison règles de réduction de la surface d’attaque peut vous aider.
Les règles de réduction de la surface d’attaque ciblent certains comportements logiciels, tels que :
- Lancement de fichiers exécutables et de scripts qui tentent de télécharger ou d’exécuter des fichiers
- Exécution de scripts masqués ou suspects
- Comportements que les applications ne se produisent généralement pas pendant le travail quotidien normal
En réduisant les différentes surfaces d’attaque, vous pouvez empêcher les attaques de se produire en premier lieu.
Cette collection de déploiement fournit des informations sur les aspects suivants des règles de réduction de la surface d’attaque :
- exigences relatives aux règles de réduction de la surface d’attaque
- planifier le déploiement des règles de réduction de la surface d’attaque
- règles de réduction de la surface d’attaque de test
- configurer et activer des règles de réduction de la surface d’attaque
- bonnes pratiques relatives aux règles de réduction de la surface d’attaque
- règles de réduction de la surface d’attaque de chasse avancée
- observateur d’événements règles de réduction de la surface d’attaque
Étapes de déploiement des règles de réduction de la surface d’attaque
Comme pour toute nouvelle implémentation à grande échelle, susceptible d’avoir un impact sur vos opérations métier, il est important d’être méthodique dans votre planification et votre implémentation. Une planification et un déploiement minutieux des règles de réduction de la surface d’attaque sont nécessaires pour s’assurer qu’elles fonctionnent au mieux pour vos flux de travail clients uniques. Pour travailler dans votre environnement, vous devez planifier, tester, implémenter et opérationnaliser soigneusement les règles de réduction de la surface d’attaque.
Avertissement important pour le prédéploiement
Nous vous recommandons d’activer les trois règles de protection standard suivantes. Pour plus d’informations sur les deux types de règles de réduction de la surface d’attaque, consultez Règles de réduction de la surface d’attaque par type .
- Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe)
- Bloquer les abus de conducteurs vulnérables exploités signés
- Bloquer la persistance via l’abonnement aux événements WMI (Windows Management Instrumentation)
En règle générale, vous pouvez activer les règles de protection standard avec un impact minimal ou nul pour l’utilisateur final. Pour obtenir une méthode simple permettant d’activer les règles de protection standard, consultez Option de protection standard simplifiée.
Remarque
Pour les clients qui utilisent un HIPS non-Microsoft et qui passent à Microsoft Defender pour point de terminaison règles de réduction de la surface d’attaque, Microsoft conseille d’exécuter la solution HIPS parallèlement au déploiement des règles de réduction de la surface d’attaque jusqu’au moment où vous passez du mode Audit au mode Bloc. N’oubliez pas que vous devez contacter votre fournisseur d’antivirus non-Microsoft pour obtenir des recommandations d’exclusion.
Avant de commencer à tester ou à activer les règles de réduction de la surface d’attaque
Lors de votre préparation initiale, il est essentiel de comprendre les fonctionnalités des systèmes que vous mettez en place. La compréhension des fonctionnalités vous aide à déterminer quelles règles de réduction de la surface d’attaque sont les plus importantes pour protéger vos organization. En outre, il existe plusieurs prérequis, que vous devez respecter pour préparer votre déploiement de réduction de la surface d’attaque.
Importante
Ce guide fournit des images et des exemples pour vous aider à décider comment configurer les règles de réduction de la surface d’attaque. ces images et exemples peuvent ne pas refléter les meilleures options de configuration pour votre environnement.
Avant de commencer, consultez Vue d’ensemble de la réduction de la surface d’attaque et Règles de réduction de la surface d’attaque de démystification - Partie 1 pour obtenir des informations de base. Pour comprendre les zones de couverture et l’impact potentiel, familiarisez-vous avec l’ensemble actuel de règles de réduction de la surface d’attaque ; consultez Informations de référence sur les règles de réduction de la surface d’attaque. Pendant que vous vous familiarisez avec l’ensemble des règles de réduction de la surface d’attaque, notez les mappages GUID par règle ; Consultez Règle de réduction de la surface d’attaque à la matrice GUID.
Les règles de réduction de la surface d’attaque ne sont qu’une des fonctionnalités de réduction de la surface d’attaque dans Microsoft Defender pour point de terminaison. Ce document décrit plus en détail le déploiement de règles de réduction de la surface d’attaque pour arrêter efficacement les menaces avancées telles que les rançongiciels gérés par l’homme et d’autres menaces.
Liste des règles de réduction de la surface d’attaque par catégorie
Le tableau suivant présente les règles de réduction de la surface d’attaque par catégorie :
Menaces polymorphes | Mouvement latéral & vol d’informations d’identification | Règles des applications de productivité | Email règles | Règles de script | Règles d’erreur |
---|---|---|---|---|---|
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence (1 000 machines), d’âge ou de liste de confiance | Bloquer les créations de processus provenant des commandes PSExec et WMI | Empêcher les applications Office de créer du contenu exécutable | Bloquer le contenu exécutable du client de messagerie et de la messagerie web | Bloquer le code JS/VBS/PS/macro obfusqué | Bloquer les abus de conducteurs vulnérables exploités [1] |
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB | Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe)[2] | Empêcher les applications Office de créer des processus enfants | Empêcher uniquement les applications de communication Office de créer des processus enfants | Empêcher JS/VBS de lancer le contenu exécutable téléchargé | |
Utiliser une protection avancée contre les rançongiciels | Bloquer la persistance via un abonnement aux événements WMI | Empêcher les applications Office d’injecter du code dans d’autres processus | Empêcher les applications de communication Office de créer des processus enfants | ||
Empêcher Adobe Reader de créer des processus enfants |
(1) L’utilisation abusive de blocs de pilotes signés vulnérables exploités est désormais disponible sousRéduction de la surface d’attaquede sécurité> du point de terminaison.
(2) Certaines règles de réduction de la surface d’attaque génèrent un bruit considérable, mais ne bloquent pas les fonctionnalités. Par exemple, si vous mettez à jour Chrome, Chrome accède lsass.exe; les mots de passe sont stockés dans lsass sur l’appareil. Toutefois, Chrome ne doit pas accéder à l’appareil local lsass.exe. Si vous activez la règle pour bloquer l’accès à lsass, vous voyez de nombreux événements. Ces événements sont de bons événements, car le processus de mise à jour logicielle ne doit pas accéder à lsass.exe. L’utilisation de cette règle empêche les mises à jour Chrome d’accéder à lsass, mais n’empêche pas Chrome de se mettre à jour. Cela vaut également pour les autres applications qui effectuent des appels inutiles à lsass.exe. La règle bloquer l’accès à lsass bloque les appels inutiles à lsass, mais ne bloque pas l’exécution de l’application.
Exigences de l’infrastructure de réduction de la surface d’attaque
Bien que plusieurs méthodes d’implémentation de règles de réduction de la surface d’attaque soient possibles, ce guide est basé sur une infrastructure composée de
- Identifiant Microsoft Entra
- Microsoft Intune
- appareils Windows 10 et Windows 11
- Microsoft Defender pour point de terminaison licences E5 ou Windows E5
Pour tirer pleinement parti des règles de réduction de la surface d’attaque et des rapports, nous vous recommandons d’utiliser une licence Microsoft Defender XDR E5 ou Windows E5 et A5. Pour plus d’informations, consultez Configuration minimale requise pour Microsoft Defender pour point de terminaison.
Remarque
Il existe plusieurs méthodes pour configurer des règles de réduction de la surface d’attaque. Les règles de réduction de la surface d’attaque peuvent être configurées à l’aide de : Microsoft Intune, PowerShell, stratégie de groupe, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. Si vous utilisez une configuration d’infrastructure différente de celle indiquée pour Configuration requise pour l’infrastructure, vous pouvez en savoir plus sur le déploiement de règles de réduction de la surface d’attaque à l’aide d’autres configurations ici : Activer les règles de réduction de la surface d’attaque.
Dépendances des règles de réduction de la surface d’attaque
Microsoft Defender Antivirus doit être activé et configuré en tant que solution antivirus principale et doit être dans le mode suivant :
- Solution antivirus/anti-programme malveillant principale
- État : mode actif
Microsoft Defender Antivirus ne doit pas être dans l’un des modes suivants :
- Passif
- Mode passif avec détection et réponse de point de terminaison (EDR) en mode bloc
- Analyse périodique limitée (LPS)
- Désactivé
Pour plus d’informations, consultez Protection et antivirus Microsoft Defender fournis par le cloud.
La protection cloud (MAPS) doit être activée pour activer les règles de réduction de la surface d’attaque
Microsoft Defender Antivirus fonctionne en toute transparence avec les services cloud Microsoft. Ces services de protection cloud, également appelés Microsoft Advanced Protection Service (MAPS), améliorent la protection en temps réel standard, offrant sans doute la meilleure défense antivirus. La protection cloud est essentielle pour empêcher les violations des programmes malveillants et un composant essentiel des règles de réduction de la surface d’attaque. Activez la protection fournie par le cloud dans Microsoft Defender Antivirus.
Microsoft Defender composants antivirus doivent être des versions actuelles pour les règles de réduction de la surface d’attaque
Les versions du composant Antivirus Microsoft Defender suivantes ne doivent pas dépasser deux versions antérieures à la version la plus disponible :
- Microsoft Defender version de mise à jour de la plateforme antivirus : Microsoft Defender plateforme antivirus est mise à jour mensuellement.
- Microsoft Defender version du moteur antivirus : Microsoft Defender moteur antivirus est mis à jour tous les mois.
- Microsoft Defender Antivirus security intelligence : Microsoft met continuellement à jour Microsoft Defender renseignement de sécurité (également appelé définition et signature) pour répondre aux menaces les plus récentes et affiner la logique de détection.
Le fait de conserver Microsoft Defender versions actuelles de l’antivirus permet de réduire les faux résultats positifs des règles de réduction de la surface d’attaque et améliore Microsoft Defender fonctionnalités de détection antivirus. Pour plus d’informations sur les versions actuelles et sur la façon de mettre à jour les différents composants antivirus Microsoft Defender, consultez Microsoft Defender prise en charge de la plateforme antivirus.
Caveat
Certaines règles ne fonctionnent pas correctement si les scripts et les applications développés en interne non signés sont en forte utilisation. Il est plus difficile de déployer des règles de réduction de la surface d’attaque si la signature du code n’est pas appliquée.
Autres articles de cette collection de déploiement
Règles de réduction de la surface d’attaque de test
Activer les règles de réduction de la surface d’attaque
Opérationnaliser les règles de réduction de la surface d’attaque
Informations de référence sur les règles de réduction de la surface d’attaque
Référence
Des blogs
Démystifier les règles de réduction de la surface d’attaque - Partie 1
Démystification des règles de réduction de la surface d’attaque - Partie 2
Démystification des règles de réduction de la surface d’attaque - Partie 3
Démystifier les règles de réduction de la surface d’attaque - Partie 4
Collecte des règles de réduction de la surface d’attaque
Vue d’ensemble de la réduction de la surface d'attaque
Activer les règles de réduction de la surface d’attaque - Autres configurations
Informations de référence sur les règles de réduction de la surface d’attaque
FAQ sur la réduction de la surface d’attaque
Microsoft Defender
Résoudre des faux négatifs/positifs dans Microsoft Defender pour point de terminaison
Protection par le cloud et antivirus Microsoft Defender
Activer la protection fournie par le cloud dans Microsoft Defender Antivirus
Configurer et valider des exclusions en fonction de l’extension, du nom ou de l’emplacement
prise en charge de la plateforme Antivirus Microsoft Defender
Vue d’ensemble de l’inventaire dans le centre d’administration Microsoft 365 Apps
Créer un plan de déploiement pour Windows
Attribuer des profils d’appareil dans Microsoft Intune
Sites de gestion
centre d’administration Microsoft Intune
Réduction de la surface d’attaque
Configurations des règles de réduction de la surface d’attaque
Exclusions des règles de réduction de la surface d’attaque
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour