Personnaliser la protection contre les codes malveillants exploitant une faille de sécuritéCustomize exploit protection

S’applique à :Applies to:

Vous souhaitez faire l’expérience de Defender for Endpoint ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Exploit Protection applique automatiquement un certain nombre de techniques d’atténuation des attaques sur les processus du système d’exploitation et sur les applications individuelles.Exploit protection automatically applies a number of exploit mitigation techniques on both the operating system processes and on individual apps.

Configurez ces paramètres à l’aide Sécurité Windows’application sur un appareil individuel.Configure these settings using the Windows Security app on an individual device. Ensuite, exportez la configuration en tant que fichier XML afin de pouvoir le déployer sur d’autres appareils.Then, export the configuration as an XML file so you can deploy to other devices. Utilisez la stratégie de groupe pour distribuer le fichier XML à plusieurs appareils à la fois.Use Group Policy to distribute the XML file to multiple devices at once. Vous pouvez également configurer les atténuations avec PowerShell.You can also configure the mitigations with PowerShell.

Cet article répertorie chacune des atténuations disponibles dans Exploit Protection.This article lists each of the mitigations available in exploit protection. Il indique si l’atténuation peut être appliquée à l’échelle du système ou à des applications individuelles et fournit une brève description du fonctionnement de l’atténuation.It indicates whether the mitigation can be applied system-wide or to individual apps, and provides a brief description of how the mitigation works.

Il explique également comment activer ou configurer les atténuations à l’aide de fournisseurs de services de configuration Sécurité Windows, PowerShell et de gestion des périphériques mobiles (CSP).It also describes how to enable or configure the mitigations using Windows Security, PowerShell, and mobile device management (MDM) configuration service providers (CSPs). Il s’agit de la première étape de la création d’une configuration que vous pouvez déployer sur votre réseau.This is the first step in creating a configuration that you can deploy across your network. L’étape suivante implique la génération, l’exportation, l’importationet le déploiement de la configuration sur plusieurs appareils.The next step involves generating, exporting, importing, and deploying the configuration to multiple devices.

Avertissement

Certaines technologies d’atténuation de la sécurité peuvent avoir des problèmes de compatibilité avec certaines applications.Some security mitigation technologies may have compatibility issues with some applications. Vous devez tester Exploit Protection dans tous les scénarios d’utilisation cible à l’aide du mode audit avant de déployer la configuration dans un environnement de production ou dans le reste de votre réseau.You should test exploit protection in all target use scenarios by using audit mode before deploying the configuration across a production environment or the rest of your network.

Atténuations exploit protectionExploit protection mitigations

Toutes les atténuations peuvent être configurées pour des applications individuelles.All mitigations can be configured for individual apps. Certaines atténuations peuvent également être appliquées au niveau du système d’exploitation.Some mitigations can also be applied at the operating system level.

Vous pouvez définir chacune des atténuations sur, sur ou sur leur valeur par défaut.You can set each of the mitigations on, off, or to their default value. Certaines atténuations offrent des options supplémentaires qui sont indiquées dans la description du tableau.Some mitigations have additional options that are indicated in the description in the table.

Les valeurs par défaut sont toujours spécifiées entre crochets à l’option Utiliser par défaut pour chaque atténuation.Default values are always specified in brackets at the Use default option for each mitigation. Dans l’exemple suivant, la valeur par défaut pour la prévention de l’exécution des données est « On ».In the following example, the default for Data Execution Prevention is "On".

La configuration par défaut Utiliser pour chacun des paramètres d’atténuation indique notre recommandation pour un niveau de protection de base pour l’utilisation quotidienne pour les utilisateurs à domicile.The Use default configuration for each of the mitigation settings indicates our recommendation for a base level of protection for everyday usage for home users. Enterprise déploiements doivent prendre en compte la protection requise pour leurs besoins individuels et peuvent avoir besoin de modifier la configuration par rapport aux valeurs par défaut.Enterprise deployments should consider the protection required for their individual needs and may need to modify configuration away from the defaults.

Pour les cmdlets PowerShell associées pour chaque atténuation, consultez le tableau de référence PowerShell au bas de cet article.For the associated PowerShell cmdlets for each mitigation, see the PowerShell reference table at the bottom of this article.

AtténuationMitigation DescriptionDescription Peut être appliqué àCan be applied to Mode audit disponibleAudit mode available
Protection du flux de contrôle (CFG)Control flow guard (CFG) Garantit l’intégrité du flux de contrôle pour les appels indirects.Ensures control flow integrity for indirect calls. Peut éventuellement supprimer les exportations et utiliser la loi CFG stricte.Can optionally suppress exports and use strict CFG. Niveau système et applicationSystem and app-level Coche non
Prévention de l’exécution des données (DEP)Data Execution Prevention (DEP) Empêche l’exécuter à partir de pages mémoire de données uniquement, telles que le tas et les piles.Prevents code from being run from data-only memory pages such as the heap and stacks. Configurable uniquement pour les applications 32 bits (x86), activées définitivement pour toutes les autres architectures.Only configurable for 32-bit (x86) apps, permanently enabled for all other architectures. Peut éventuellement activer l’émulation de thunk ATL.Can optionally enable ATL thunk emulation. Niveau système et applicationSystem and app-level Coche non
Forcer la randomisation pour les images (ASLR obligatoire)Force randomization for images (Mandatory ASLR) Relocalisation forcée des images non compilées avec /DYNAMICBASE.Forcibly relocates images not compiled with /DYNAMICBASE. Peut éventuellement échouer au chargement des images qui n’ont pas d’informations de déplacement.Can optionally fail loading images that don't have relocation information. Niveau système et applicationSystem and app-level Coche non
Randomize memory allocations (Bottom-Up ASLR)Randomize memory allocations (Bottom-Up ASLR) Aléatoire les emplacements pour les allocations de mémoire virtuelle.Randomizes locations for virtual memory allocations. Il inclut les tas de structure système, les piles, les tebs et les pebs.It includes system structure heaps, stacks, TEBs, and PEBs. Peut éventuellement utiliser une variation de randomisation plus large pour les processus 64 bits.Can optionally use a wider randomization variance for 64-bit processes. Niveau système et applicationSystem and app-level Coche non
Valider les chaînes d’exception (SEHOP)Validate exception chains (SEHOP) Garantit l’intégrité d’une chaîne d’exceptions lors de la distribution des exceptions.Ensures the integrity of an exception chain during exception dispatch. Configurable uniquement pour les applications 32 bits (x86).Only configurable for 32-bit (x86) applications. Niveau système et applicationSystem and app-level Coche non
Valider l’intégrité du tasValidate heap integrity Met fin à un processus lorsque l’altération du tas est détectée.Terminates a process when heap corruption is detected. Niveau système et applicationSystem and app-level Coche non
Protection de code arbitraire (ACG)Arbitrary code guard (ACG) Empêche l’introduction de code exécutable non-image-backed et empêche les pages de code d’être modifiées.Prevents the introduction of non-image-backed executable code and prevents code pages from being modified. Peut éventuellement autoriser le retrait du thread et autoriser la rétrogradation à distance (configurable uniquement avec PowerShell).Can optionally allow thread opt-out and allow remote downgrade (configurable only with PowerShell). Niveau application uniquementApp-level only Cochez la coche oui
Bloquer les images à faible intégritéBlock low integrity images Empêche le chargement des images marquées avec une intégrité faible.Prevents the loading of images marked with Low Integrity. Niveau application uniquementApp-level only Cochez la coche oui
Bloquer les images distantesBlock remote images Empêche le chargement d’images à partir d’appareils distants.Prevents loading of images from remote devices. Niveau application uniquementApp-level only ! [Coche non] (/security/defender-endpoint/images/svg/check-no![Check mark no](/security/defender-endpoint/images/svg/check-no
Bloquer les polices nontruesBlock untrusted fonts Empêche le chargement des polices GDI non installées dans le répertoire des polices système, notamment les polices du web.Prevents loading any GDI-based fonts not installed in the system fonts directory, notably fonts from the web. Niveau application uniquementApp-level only !includeCheck mark yes!includeCheck mark yes
Protection de l’intégrité du codeCode integrity guard Limite le chargement des images signées par Microsoft, WHQL ou une valeur supérieure.Restricts loading of images signed by Microsoft, WHQL, or higher. Peut éventuellement autoriser Microsoft Store images signées.Can optionally allow Microsoft Store signed images. Niveau application uniquementApp-level only Cochez la coche oui
Désactiver les points d’extensionDisable extension points Désactive divers mécanismes d’extensibilité qui permettent l’injection de DLL dans tous les processus, tels que les DLL AppInit, les hooks de fenêtre et les fournisseurs de services Winsock.Disables various extensibility mechanisms that allow DLL injection into all processes, such as AppInit DLLs, window hooks, and Winsock service providers. Niveau application uniquementApp-level only Coche non
Désactiver les appels système Win32kDisable Win32k system calls Empêche une application d’utiliser la table d’appels système Win32k.Prevents an app from using the Win32k system call table. Niveau application uniquementApp-level only Cochez la coche oui
Ne pas autoriser les processus enfantsDon't allow child processes Empêche une application de créer des processus enfants.Prevents an app from creating child processes. Niveau application uniquementApp-level only Cochez la coche oui
Exporter le filtrage des adresses (EAF)Export address filtering (EAF) Détecte les opérations dangereuses résolues par du code malveillant.Detects dangerous operations being resolved by malicious code. Peut éventuellement valider l’accès par des modules couramment utilisés par les exploits.Can optionally validate access by modules commonly used by exploits. Niveau application uniquementApp-level only Cochez la coche oui
Importer le filtrage des adresses (IAF)Import address filtering (IAF) Détecte les opérations dangereuses résolues par du code malveillant.Detects dangerous operations being resolved by malicious code. Niveau application uniquementApp-level only Cochez la coche oui
Simuler l’exécution (SimExec)Simulate execution (SimExec) Garantit que les appels aux API sensibles retournent aux appelants légitimes.Ensures that calls to sensitive APIs return to legitimate callers. Configurable uniquement pour les applications 32 bits (x86).Only configurable for 32-bit (x86) applications. Non compatible avec ACGNot compatible with ACG Niveau application uniquementApp-level only Cochez la coche oui
Valider l’appel d’API (CallerCheck)Validate API invocation (CallerCheck) Garantit que les API sensibles sont invoquées par des appelants légitimes.Ensures that sensitive APIs are invoked by legitimate callers. Configurable uniquement pour les applications 32 bits (x86).Only configurable for 32-bit (x86) applications. Non compatible avec ACGNot compatible with ACG Niveau application uniquementApp-level only Cochez la coche oui
Valider l’utilisation des handlesValidate handle usage Provoque le renvoi d’une exception sur les références de handle non valides.Causes an exception to be raised on any invalid handle references. Niveau application uniquementApp-level only Coche non
Valider l’intégrité des dépendances d’imageValidate image dependency integrity Applique la signature du code pour Windows de dépendance d’image.Enforces code signing for Windows image dependency loading. Niveau application uniquementApp-level only Coche non
Valider l’intégrité de la pile (StackPivot)Validate stack integrity (StackPivot) Garantit que la pile n’a pas été redirigée vers les API sensibles.Ensures that the stack hasn't been redirected for sensitive APIs. Non compatible avec ACGNot compatible with ACG Niveau application uniquementApp-level only Cochez la coche oui

Important

Si vous ajoutez une application à la section Paramètres du programme et configurez des paramètres d’atténuation individuels à cet endroit, ils seront honorés au-dessus de la configuration pour les mêmes atténuations spécifiées dans la section Paramètres système.If you add an app to the Program settings section and configure individual mitigation settings there, they will be honored above the configuration for the same mitigations specified in the System settings section. La matrice et les exemples suivants permettent d’illustrer le fonctionnement des valeurs par défaut :The following matrix and examples help to illustrate how defaults work:

Activé dans les paramètres du programmeEnabled in Program settings Activé dans les paramètres systèmeEnabled in System settings ComportementBehavior
Cochez la coche oui Coche non Comme défini dans les paramètres du programmeAs defined in Program settings
Cochez la coche oui Cochez la coche oui Comme défini dans les paramètres du programmeAs defined in Program settings
Coche non Cochez la coche oui Comme défini dans les paramètres systèmeAs defined in System settings
Coche non Cochez la coche oui Valeur par défaut telle que définie dans l’option Utiliser par défautDefault as defined in Use default option
  • Exemple 1Example 1

    Il configure la prévention de l’exécution des données (DEP) dans la section Paramètres système pour qu’elle soit éteinte par défaut.Mikael configures Data Execution Prevention (DEP) in the System settings section to be Off by default.

    Il ajoute ensuite l’application test.exe la section Paramètres du programme.Mikael then adds the app test.exe to the Program settings section. Dans les options de cette application, sous Prévention de l’exécution des données ,il active l’option Remplacer les paramètres système et définit le commutateur sur Activé.In the options for that app, under Data Execution Prevention (DEP), he enables the Override system settings option and sets the switch to On. Aucune autre application n’est répertoriée dans la section Paramètres du programme.There are no other apps listed in the Program settings section.

    Le résultat sera que deP uniquement sera activé pour test.exe.The result will be that DEP only will be enabled for test.exe. La PD DEP n’est pas appliquée à toutes les autres applications.All other apps will not have DEP applied.

  • Exemple 2Example 2

    Joëlle configure la prévention de l’exécution des données (DEP) dans la section Paramètres système pour qu’elle soit éteinte par défaut.Josie configures Data Execution Prevention (DEP) in the System settings section to be Off by default.

    Joëlle ajoute ensuite l’application test.exe la section Paramètres du programme.Josie then adds the app test.exe to the Program settings section. Dans les options de cette application, sous Prévention de l’exécution des données ,elle active l’option Remplacer les paramètres système et définit le commutateur sur Activé.In the options for that app, under Data Execution Prevention (DEP), she enables the Override system settings option and sets the switch to On.

    Joëlle ajoute également l’application miles.exe la section Paramètres du programme et configure la protection du flux de contrôle (CFG) sur On.Josie also adds the app miles.exe to the Program settings section and configures Control flow guard (CFG) to On. Elle n’active pas l’option Remplacer les paramètres système pour deP ou toute autre atténuation pour cette application.She doesn't enable the Override system settings option for DEP or any other mitigations for that app.

    Le résultat sera que deP sera activé pour test.exe.The result will be that DEP will be enabled for test.exe. DeP ne sera pas activé pour toute autre application, y compris miles.exe.DEP will not be enabled for any other app, including miles.exe. CFG sera activé pour miles.exe.CFG will be enabled for miles.exe.

Notes

Si vous avez trouvé des problèmes dans cet article, vous pouvez le signaler directement à un partenaire client Windows Server/Windows ou utiliser les numéros de support technique Microsoft pour votre pays.If you have found any issues in this article, you can report it directly to a Windows Server/Windows Client partner or use the Microsoft technical support numbers for your country.

Configurer des atténuations au niveau du système avec l’application Sécurité Windows systèmeConfigure system-level mitigations with the Windows Security app

  1. Ouvrez l’Sécurité Windows en sélectionnant l’icône de bouclier dans la barre des tâches ou en recherchant Defender dans le menu Démarrer.Open the Windows Security app by selecting the shield icon in the task bar or searching the start menu for Defender.

  2. Sélectionnez la vignette & contrôle du navigateur (ou l’icône de l’application dans la barre de menus de gauche), puis sélectionnez Exploit Protection.Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

  3. Sous la section Paramètres système, recherchez l’atténuation que vous souhaitez configurer et sélectionnez l’une des mesures suivantes.Under the System settings section, find the mitigation you want to configure and select one of the following. Les applications qui ne sont pas configurées individuellement dans la section Paramètres du programme utiliseront les paramètres configurés ici :Apps that aren't configured individually in the Program settings section will use the settings configured here:

    • Activé par défaut : l’atténuation est activée pour les applications qui n’ont pas cette atténuation définie dans la section Paramètres du programme propre à l’application.On by default - The mitigation is enabled for apps that don't have this mitigation set in the app-specific Program settings section
    • Désactivée par défaut : l’atténuation est désactivée pour les applications qui n’ont pas cette atténuation définie dans la section Paramètres du programme spécifique à l’applicationOff by default - The mitigation is disabled for apps that don't have this mitigation set in the app-specific Program settings section
    • Utiliser la valeur par défaut : l’atténuation est activée ou désactivée, en fonction de la configuration par défaut qui est définie par Windows 10'installation ; la valeur par défaut (On or Off) est toujours spécifiée en dehors de l’étiquette Utiliser par défaut pour chaque atténuationUse default - The mitigation is either enabled or disabled, depending on the default configuration that is set up by Windows 10 installation; the default value (On or Off) is always specified next to the Use default label for each mitigation

    Notes

    Vous pouvez voir une fenêtre Contrôle de compte d’utilisateur lors de la modification de certains paramètres.You may see a User Account Control window when changing some settings. Entrez les informations d’identification de l’administrateur pour appliquer le paramètre.Enter administrator credentials to apply the setting.

    La modification de certains paramètres peut nécessiter un redémarrage.Changing some settings may require a restart.

  4. Répétez cette configuration pour toutes les atténuations au niveau du système que vous souhaitez configurer.Repeat this for all the system-level mitigations you want to configure.

  5. Go to the Program settings section and choose the app you want to apply mitigations to:Go to the Program settings section and choose the app you want to apply mitigations to:

    1. Si l’application que vous souhaitez configurer est déjà répertoriée, sélectionnez-la, puis sélectionnez ModifierIf the app you want to configure is already listed, select it and then select Edit
    2. Si l’application n’est pas répertoriée, en haut de la liste, sélectionnez Ajouter un programme à personnaliser, puis choisissez la façon dont vous souhaitez ajouter l’application :If the app isn't listed, at the top of the list select Add program to customize and then choose how you want to add the app:
      • Utilisez Ajouter par nom de programme pour que l’atténuation soit appliquée à tout processus en cours d’exécution avec ce nom.Use Add by program name to have the mitigation applied to any running process with that name. Vous devez spécifier un fichier avec une extension.You must specify a file with an extension. Vous pouvez entrer un chemin d’accès complet pour limiter l’atténuation uniquement à l’application avec ce nom à cet emplacement.You can enter a full path to limit the mitigation to only the app with that name in that location.
      • Utilisez choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
  6. Après avoir sélectionné l’application, vous verrez une liste de toutes les atténuations qui peuvent être appliquées.After selecting the app, you'll see a list of all the mitigations that can be applied. Pour activer l’atténuation, activez la case à cocher, puis modifiez le curseur sur Activé.To enable the mitigation, select the check box and then change the slider to On. Sélectionnez toutes les options supplémentaires.Select any additional options. Le choix de l’audit appliquera l’atténuation en mode audit uniquement.Choosing Audit will apply the mitigation in audit mode only. Vous serez averti si vous devez redémarrer le processus ou l’application, ou si vous devez redémarrer Windows.You will be notified if you need to restart the process or app, or if you need to restart Windows.

  7. Répétez ces étapes pour toutes les applications et atténuations que vous souhaitez configurer.Repeat these steps for all the apps and mitigations you want to configure. Sélectionnez Appliquer lorsque vous avez terminé la configuration de votre configuration.Select Apply when you're done setting up your configuration.

Vous pouvez maintenant exporter ces paramètres en tant que fichier XML ou continuer à configurer des atténuations spécifiques à l’application.You can now export these settings as an XML file or continue on to configure app-specific mitigations.

L’exportation de la configuration en tant que fichier XML vous permet de copier la configuration d’un appareil sur d’autres appareils.Exporting the configuration as an XML file allows you to copy the configuration from one device onto other devices.

Référence PowerShellPowerShell reference

Vous pouvez utiliser l’application Sécurité Windows pour configurer Exploit Protection, ou vous pouvez utiliser des cmdlets PowerShell.You can use the Windows Security app to configure Exploit protection, or you can use PowerShell cmdlets.

Les paramètres de configuration les plus récemment modifiés seront toujours appliqués, que vous utilisez PowerShell ou Sécurité Windows.The configuration settings that were most recently modified will always be applied - regardless of whether you use PowerShell or Windows Security. Cela signifie que si vous utilisez l’application pour configurer une atténuation, puis utilisez PowerShell pour configurer la même atténuation, l’application se met à jour pour afficher les modifications que vous avez apportées avec PowerShell.This means that if you use the app to configure a mitigation, then use PowerShell to configure the same mitigation, the app will update to show the changes you made with PowerShell. Si vous utilisez ensuite l’application pour modifier à nouveau l’atténuation, cette modification s’applique.If you were to then use the app to change the mitigation again, that change would apply.

Important

Toutes les modifications déployées sur un appareil par le biais de la stratégie de groupe remplaceront la configuration locale.Any changes that are deployed to a device through Group Policy will override the local configuration. Lors de la configuration d’une configuration initiale, utilisez un appareil sur qui n’aura pas de configuration de stratégie de groupe appliquée pour vous assurer que vos modifications ne sont pas overridées.When setting up an initial configuration, use a device that will not have a Group Policy configuration applied to ensure your changes aren't overridden.

Vous pouvez utiliser le verbe PowerShell Get ou Set avec l’cmdlet ProcessMitigation .You can use the PowerShell verb Get or Set with the cmdlet ProcessMitigation. L’utilisation permet de lister l’état de configuration actuel des atténuations qui ont été activées sur l’appareil : ajoutez la cmdlet et l’exe d’application pour voir les atténuations pour Get -Name cette application :Using Get will list the current configuration status of any mitigations that have been enabled on the device - add the -Name cmdlet and app exe to see mitigations for just that app:

Get-ProcessMitigation -Name processName.exe

Important

Les atténuations au niveau du système qui n’ont pas été configurées afficheront un état de NOTSET .System-level mitigations that have not been configured will show a status of NOTSET.

Pour les paramètres au niveau du système, indique que le paramètre par défaut de NOTSET cette atténuation a été appliqué.For system-level settings, NOTSET indicates the default setting for that mitigation has been applied.

Pour les paramètres au niveau de l’application, indique que le paramètre au niveau du système pour l’atténuation NOTSET sera appliqué.For app-level settings, NOTSET indicates the system-level setting for the mitigation will be applied.

Le paramètre par défaut pour chaque atténuation au niveau du système est visible dans le Sécurité Windows.The default setting for each system-level mitigation can be seen in the Windows Security.

Permet Set de configurer chaque atténuation au format suivant :Use Set to configure each mitigation in the following format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Où :Where:

  • <Scope>:<Scope>:
    • -Name pour indiquer que les atténuations doivent être appliquées à une application spécifique.-Name to indicate the mitigations should be applied to a specific app. Spécifiez le exécutable de l’application après cet indicateur.Specify the app's executable after this flag.
    • -System pour indiquer que l’atténuation doit être appliquée au niveau du système-System to indicate the mitigation should be applied at the system level
  • <Action>:<Action>:
    • -Enable pour activer l’atténuation-Enable to enable the mitigation
    • -Disable pour désactiver l’atténuation-Disable to disable the mitigation
  • <Mitigation>:<Mitigation>:
    • Cmdlet de l’atténuation telle que définie dans le tableau des cmdlets d’atténuation ci-dessous, ainsi que toutes les sous-options (entourées d’espaces).The mitigation's cmdlet as defined in the mitigation cmdlets table below, along with any suboptions (surrounded with spaces). Chaque atténuation est séparée par une virgule.Each mitigation is separated with a comma.

Par exemple, pour activer la prévention de l’exécution des données avec l’émulation thunk ATL et pour un exécutable appelétesting.exedans le dossier C:\Apps\LOB\tests et pour empêcher cet exécutable de créer des processus enfants, vous devez utiliser la commande suivante :For example, to enable the Data Execution Prevention (DEP) mitigation with ATL thunk emulation and for an executable called testing.exe in the folder C:\Apps\LOB\tests, and to prevent that executable from creating child processes, you'd use the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Important

Séparez chaque option d’atténuation par des virgules.Separate each mitigation option with commas.

Si vous souhaitez appliquer la PD DEP au niveau du système, vous devez utiliser la commande suivante :If you wanted to apply DEP at the system level, you'd use the following command:

Set-Processmitigation -System -Enable DEP

Pour désactiver les atténuations, vous pouvez remplacer -Enable par -Disable .To disable mitigations, you can replace -Enable with -Disable. Toutefois, pour les atténuations au niveau de l’application, cela force la désactivation de l’atténuation uniquement pour cette application.However, for app-level mitigations, this will force the mitigation to be disabled only for that app.

Si vous devez rétablir la valeur par défaut du système pour l’atténuation, vous devez également inclure l’cmdlet, comme -Remove dans l’exemple suivant :If you need to restore the mitigation back to the system default, you need to include the -Remove cmdlet as well, as in the following example:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

Vous pouvez également définir certaines atténuations en mode audit.You can also set some mitigations to audit mode. Au lieu d’utiliser l’cmdlet PowerShell pour l’atténuation, utilisez la cmdlet mode Audit comme indiqué dans le tableau des cmdlets d’atténuation ci-dessous.Instead of using the PowerShell cmdlet for the mitigation, use the Audit mode cmdlet as specified in the mitigation cmdlets table below.

Par exemple, pour activer arbitrary Code Guard (ACG) en mode audit pour letesting.exeutilisé précédemment, vous devez utiliser la commande suivante : For example, to enable Arbitrary Code Guard (ACG) in audit mode for the testing.exe used previously, you'd use the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Vous pouvez désactiver le mode audit à l’aide de la même commande, mais en le remplaçant -Enable par -Disable .You can disable audit mode by using the same command but replacing -Enable with -Disable.

Table de référence PowerShellPowerShell reference table

Ce tableau répertorie les cmdlets PowerShell (et l’cmdlet de mode audit associée) qui peuvent être utilisées pour configurer chaque atténuation.This table lists the PowerShell cmdlets (and associated audit mode cmdlet) that can be used to configure each mitigation.

AtténuationMitigation S’applique àApplies to Cmdlets PowerShellPowerShell cmdlets Cmdlet du mode auditAudit mode cmdlet
Protection du flux de contrôle (CFG)Control flow guard (CFG) Niveau système et applicationSystem and app-level CFG, StrictCFG, SuppressExportsCFG, StrictCFG, SuppressExports Audit non disponibleAudit not available
Prévention de l’exécution des données (DEP)Data Execution Prevention (DEP) Niveau système et applicationSystem and app-level DEP, EmulateAtlThunksDEP, EmulateAtlThunks Audit non disponibleAudit not available
Forcer la randomisation pour les images (ASLR obligatoire)Force randomization for images (Mandatory ASLR) Niveau système et applicationSystem and app-level ForceRelocateImagesForceRelocateImages Audit non disponibleAudit not available
Randomize memory allocations (Bottom-Up ASLR)Randomize memory allocations (Bottom-Up ASLR) Niveau système et applicationSystem and app-level BottomUp, HighEntropyBottomUp, HighEntropy Audit non disponibleAudit not available
Valider les chaînes d’exception (SEHOP)Validate exception chains (SEHOP) Niveau système et applicationSystem and app-level SEHOP, SEHOPTelemetrySEHOP, SEHOPTelemetry Audit non disponibleAudit not available
Valider l’intégrité du tasValidate heap integrity Niveau système et applicationSystem and app-level TerminateOnErrorTerminateOnError Audit non disponibleAudit not available
Protection de code arbitraire (ACG)Arbitrary code guard (ACG) Niveau application uniquementApp-level only DynamicCodeDynamicCode AuditDynamicCodeAuditDynamicCode
Bloquer les images à faible intégritéBlock low integrity images Niveau application uniquementApp-level only BlockLowLabelBlockLowLabel AuditImageLoadAuditImageLoad
Bloquer les images distantesBlock remote images Niveau application uniquementApp-level only BlockRemoteImagesBlockRemoteImages Audit non disponibleAudit not available
Bloquer les polices nontruesBlock untrusted fonts Niveau application uniquementApp-level only DisableNonSystemFontsDisableNonSystemFonts AuditFont, FontAuditOnlyAuditFont, FontAuditOnly
Protection de l’intégrité du codeCode integrity guard Niveau application uniquementApp-level only BlockNonMicrosoftSigned, AllowStoreSignedBlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Désactiver les points d’extensionDisable extension points Niveau application uniquementApp-level only ExtensionPointExtensionPoint Audit non disponibleAudit not available
Désactiver les appels système Win32kDisable Win32k system calls Niveau application uniquementApp-level only DisableWin32kSystemCallsDisableWin32kSystemCalls AuditSystemCallAuditSystemCall
Ne pas autoriser les processus enfantsDo not allow child processes Niveau application uniquementApp-level only DisallowChildProcessCreationDisallowChildProcessCreation AuditChildProcessAuditChildProcess
Exporter le filtrage des adresses (EAF)Export address filtering (EAF) Niveau application uniquementApp-level only EnableExportAddressFilterPlus, EnableExportAddressFilter [ 1 ] EnableExportAddressFilterPlus, EnableExportAddressFilter [1] Audit non disponible [ 2 ] Audit not available[2]
Importer le filtrage des adresses (IAF)Import address filtering (IAF) Niveau application uniquementApp-level only EnableImportAddressFilterEnableImportAddressFilter Audit non disponible [ 2 ] Audit not available[2]
Simuler l’exécution (SimExec)Simulate execution (SimExec) Niveau application uniquementApp-level only EnableRopSimExecEnableRopSimExec Audit non disponible [ 2 ] Audit not available[2]
Valider l’appel d’API (CallerCheck)Validate API invocation (CallerCheck) Niveau application uniquementApp-level only EnableRopCallerCheckEnableRopCallerCheck Audit non disponible [ 2 ] Audit not available[2]
Valider l’utilisation des handlesValidate handle usage Niveau application uniquementApp-level only StrictHandleStrictHandle Audit non disponibleAudit not available
Valider l’intégrité des dépendances d’imageValidate image dependency integrity Niveau application uniquementApp-level only EnforceModuleDepencySigningEnforceModuleDepencySigning Audit non disponibleAudit not available
Valider l’intégrité de la pile (StackPivot)Validate stack integrity (StackPivot) Niveau application uniquementApp-level only EnableRopStackPivotEnableRopStackPivot Audit non disponible [ 2 ] Audit not available[2]

[ 1 ] :utilisez le format suivant pour activer les modules EAF pour les DLL d’un processus :[1]: Use the following format to enable EAF modules for dlls for a process:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[ 2 ] : l’audit de cette atténuation n’est pas disponible via les cmdlets PowerShell.[2]: Audit for this mitigation is not available via PowerShell cmdlets.

Personnaliser la notificationCustomize the notification

Pour plus d’informations sur la personnalisation de la notification lorsqu’une règle est déclenchée et bloque une application ou un fichier,voir Sécurité Windows .For more information about customizing the notification when a rule is triggered and blocks an app or file, see Windows Security.

Voir aussi :See also: