Évaluer Exploit ProtectionEvaluate exploit protection

S’applique à :Applies to:

Vous souhaitez découvrir Microsoft Defender pour le point de terminaison ?Want to experience Microsoft Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Exploit Protection permet de protéger les appareils contre les programmes malveillants qui utilisent des attaques pour se propager et infecter d’autres appareils.Exploit protection helps protect devices from malware that uses exploits to spread and infect other devices. L’atténuation peut être appliquée au système d’exploitation ou à une application individuelle.Mitigation can be applied to either the operating system or to an individual app. Bon nombre des fonctionnalités qui faisaient partie de l’EMET (Enhanced Mitigation Experience Shared Computer Toolkit) sont incluses dans Exploit Protection.Many of the features that were part of the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection. (EMET a atteint sa fin de prise en charge.)(The EMET has reached its end of support.)

Dans l’audit, vous pouvez voir comment fonctionne l’atténuation pour certaines applications dans un environnement de test.In audit, you can see how mitigation works for certain apps in a test environment. Cela indique ce qui se serait passé si vous a activé Exploit Protection dans votre environnement de production.This shows what would have happened if you enabled exploit protection in your production environment. De cette façon, vous pouvez vérifier qu’Exploit Protection n’affecte pas vos applications métier et voir quels événements suspects ou malveillants se produisent.This way, you can verify that exploit protection doesn't adversely affect your line-of-business apps, and see which suspicious or malicious events occur.

Conseil

Vous pouvez également visiter le site Web Microsoft Defender Testground sur demo.wd.microsoft.com pour voir comment fonctionne Exploit Protection.You can also visit the Microsoft Defender Testground website at demo.wd.microsoft.com to see how exploit protection works.

Activer Exploit Protection pour les testsEnable exploit protection for testing

Vous pouvez définir des atténuations dans un mode de test pour des programmes spécifiques à l’aide de l’application sécurité Windows ou Windows PowerShell.You can set mitigations in a testing mode for specific programs by using the Windows Security app or Windows PowerShell.

Application sécurité WindowsWindows Security app

  1. Ouvrez l’application Sécurité Windows.Open the Windows Security app. Sélectionnez l’icône de bouclier dans la barre des tâches ou recherchez Defender dans le menu Démarrer.Select the shield icon in the task bar or search the start menu for Defender.

  2. Sélectionnez la vignette & contrôle du navigateur (ou l’icône de l’application dans la barre de menus de gauche), puis sélectionnez Exploit Protection.Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

  3. Go to Program settings and choose the app you want to apply protection to:Go to Program settings and choose the app you want to apply protection to:

    1. Si l’application que vous souhaitez configurer est déjà répertoriée, sélectionnez-la, puis sélectionnez ModifierIf the app you want to configure is already listed, select it and then select Edit
    2. Si l’application n’est pas répertoriée en haut de la liste, sélectionnez Ajouter un programme à personnaliser.If the app is not listed at the top of the list select Add program to customize. Ensuite, choisissez la façon dont vous souhaitez ajouter l’application.Then, choose how you want to add the app.
      • Utilisez Ajouter par nom de programme pour que l’atténuation soit appliquée à tout processus en cours d’exécution avec ce nom.Use Add by program name to have the mitigation applied to any running process with that name. Spécifiez un fichier avec une extension.Specify a file with an extension. Vous pouvez entrer un chemin d’accès complet pour limiter l’atténuation uniquement à l’application de ce nom à cet emplacement.You can enter a full path to limit the mitigation to only the app with that name in that location.
      • Utilisez choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
  4. Après avoir sélectionné l’application, vous verrez une liste de toutes les atténuations qui peuvent être appliquées.After selecting the app, you'll see a list of all the mitigations that can be applied. Le choix de l’audit appliquera l’atténuation en mode audit uniquement.Choosing Audit will apply the mitigation in audit mode only. Vous serez averti si vous devez redémarrer le processus, l’application ou Windows.You'll be notified if you need to restart the process, app, or Windows.

  5. Répétez cette procédure pour toutes les applications et atténuations que vous souhaitez configurer.Repeat this procedure for all the apps and mitigations you want to configure. Sélectionnez Appliquer lorsque vous avez terminé la configuration de votre configuration.Select Apply when you're done setting up your configuration.

PowerShellPowerShell

Pour définir les atténuations au niveau de l’application sur le mode audit, utilisez Set-ProcessMitigation l’cmdlet du mode Audit.To set app-level mitigations to audit mode, use Set-ProcessMitigation with the Audit mode cmdlet.

Configurez chaque atténuation au format suivant :Configure each mitigation in the following format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Où :Where:

* \<Scope>:
  * `-Name` to indicate the mitigations should be applied to a specific app. Specify the app's executable after this flag.
* \<Action>:
  * `-Enable` to enable the mitigation
    * `-Disable` to disable the mitigation
* \<Mitigation>:
  * The mitigation's cmdlet as defined in the following table. Each mitigation is separated with a comma.
AtténuationMitigation Cmdlet du mode auditAudit mode cmdlet
Protection du code arbitraire (ACG)Arbitrary Code Guard (ACG) AuditDynamicCode
Bloquer les images à faible intégritéBlock low integrity images AuditImageLoad
Bloquer les polices nontruesBlock untrusted fonts AuditFont, FontAuditOnlyAuditFont, FontAuditOnly
Protection de l’intégrité du codeCode integrity guard AuditMicrosoftSigned, AuditStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Désactiver les appels système Win32kDisable Win32k system calls AuditSystemCall
Ne pas autoriser les processus enfantsDo not allow child processes AuditChildProcess

Par exemple, pour activer arbitrary Code Guard (ACG) en mode audit pour une application nommée testing.exe, exécutez la commande suivante :For example, to enable Arbitrary Code Guard (ACG) in audit mode for an app named testing.exe, run the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Vous pouvez désactiver le mode audit en le remplaçant -Enable par -Disable .You can disable audit mode by replacing -Enable with -Disable.

Passer en revue les événements d’audit Exploit ProtectionReview exploit protection audit events

Pour examiner les applications qui auraient été bloquées, ouvrez l’Observateur d’événements et filtrez les événements suivants dans Security-Mitigations journal.To review which apps would have been blocked, open Event Viewer and filter for the following events in the Security-Mitigations log.

FonctionnalitéFeature Fournisseur/sourceProvider/source ID de l'événementEvent ID DescriptionDescription
Exploit ProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 11 Audit ACGACG audit
Exploit ProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 33 Ne pas autoriser l’audit des processus enfantsDo not allow child processes audit
Exploit ProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 5 Bloquer l’audit des images à faible intégritéBlock low integrity images audit
Exploit ProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 7 Bloquer l’audit des images distantesBlock remote images audit
Exploit ProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 9 Désactiver l’audit des appels système win32kDisable win32k system calls audit
Exploit ProtectionExploit protection Security-Mitigations (mode noyau/mode utilisateur)Security-Mitigations (Kernel Mode/User Mode) 1111 Audit de protection de l’intégrité du codeCode integrity guard audit

Voir aussiSee also