Créer et déployer une stratégie Exploit GuardCreate and deploy an Exploit Guard policy

S’applique à : System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Vous pouvez configurer et déployer des stratégies Configuration Manager pour gérer les quatre composants de Windows Defender Exploit Guard.You can configure and deploy Configuration Manager policies that manage all four components of Windows Defender Exploit Guard. Ces composants sont les suivants :These components include:

  • Règles de réduction de la surface d’attaqueAttack Surface Reduction
  • Accès contrôlé aux dossiersControlled folder access
  • Exploit ProtectionExploit protection
  • Protection du réseauNetwork protection

Les données de conformité pour le déploiement de stratégie Exploit Guard sont disponibles dans la console Configuration Manager.Compliance data for Exploit Guard policy deployment is available from within the Configuration Manager console.

Notes

Par défaut, Configuration Manager n’active pas cette fonctionnalité facultative.Configuration Manager doesn't enable this optional feature by default. Vous devez activer cette fonctionnalité avant de l’utiliser.You must enable this feature before using it. Pour plus d’informations, consultez Activer les fonctionnalités facultatives des mises à jour.For more information, see Enable optional features from updates.

PrérequisPrerequisites

Les appareils gérés doivent exécuter Windows 10 Fall Creators Update version 1709 ou ultérieure et respecter les conditions suivantes, selon les composants et les règles configurés :Managed devices must run Windows 10 1709 Fall Creators Update or later and satisfy the following requirements depending on the components and rules configured:

Composant Exploit GuardExploit Guard component Prérequis supplémentairesAdditional prerequisites
Règles de réduction de la surface d’attaqueAttack Surface Reduction Laprotection en temps réel de Windows Defender AV doit être activée sur les appareils.Devices must have Windows Defender AV real-time protection enabled.
Accès contrôlé aux dossiersControlled folder access Laprotection en temps réel de Windows Defender AV doit être activée sur les appareils.Devices must have Windows Defender AV real-time protection enabled.
Exploit ProtectionExploit protection AucunNone
Protection du réseauNetwork protection Laprotection en temps réel de Windows Defender AV doit être activée sur les appareils.Devices must have Windows Defender AV real-time protection enabled.

Créer une stratégie Exploit GuardCreate an Exploit Guard policy

  1. Dans la console Configuration Manager, accédez à Ressources et Conformité > Endpoint Protection, puis cliquez sur Windows Defender Exploit Guard.In the Configuration Manager console, go to Assets and compliance > Endpoint Protection, and then click Windows Defender Exploit Guard.

  2. Dans l'onglet Accueil, dans le groupe Créer, cliquez sur Créer une stratégie Exploit.On the Home tab, in the Create group, click Create Exploit Policy.

  3. Dans la page Général de l’ Assistant Création d’élément de configuration, spécifiez un nom et une description éventuelle pour l’élément de configuration.On the General page of the Create Configuration Item Wizard, specify a name, and optional description for the configuration item.

  4. Sélectionnez ensuite les composants Exploit Guard que vous souhaitez gérer avec cette stratégie.Next, select the Exploit Guard components you want to manage with this policy. Pour chaque composant que vous sélectionnez, vous pouvez ensuite configurer des détails supplémentaires.For each component you select, you can then configure additional details.

    • Réduction de la surface d’attaque : configurez la menace Office, les menaces de script et les menaces d’e-mail que vous souhaitez bloquer ou auditer.Attack Surface Reduction: Configure the Office threat, scripting threats, and email threats you want to block or audit. Vous pouvez également exclure certains fichiers ou dossiers à partir de cette règle.You can also exclude specific files or folders from this rule.
    • Accès contrôlé aux dossiers : configurez le blocage ou l’audit, puis ajoutez des applications qui peuvent contourner cette stratégie.Controlled folder access: Configure blocking or auditing, and then add Apps that can bypass this policy. Vous pouvez également spécifier des dossiers supplémentaires qui ne sont pas protégés par défaut.You can also specify additional folders that are not protected by default.
    • Exploit Protection : spécifiez un fichier XML contenant les paramètres pour atténuer les attaques de processus système et d’applications.Exploit protection: Specify an XML file that contains settings for mitigating exploits of system processes and apps. Vous pouvez exporter ces paramètres à partir de l’application Centre de sécurité Windows Defender sur un appareil Windows 10.You can export these settings from the Windows Defender Security Center app on a Windows 10 device.
    • Protection du réseau : définissez la protection du réseau pour bloquer ou auditer l’accès aux domaines suspects.Network protection: Set network protection to block or audit access to suspicious domains.
  5. Terminez l’Assistant pour créer la stratégie, que vous pouvez déployer ultérieurement sur des appareils.Complete the wizard to create the policy, which you can later deploy to devices.

    Avertissement

    Le fichier XML de protection contre le code malveillant doit être sécurisé lorsqu’il est transféré entre des ordinateurs.The XML file for exploit protection should be kept secure when transferring it between machines. Le fichier doit être supprimé après l’importation ou conservé dans un emplacement sécurisé.The file should be deleted after import or kept in a secure location.

Déployer une stratégie Exploit GuardDeploy an Exploit Guard policy

Après avoir créé des stratégies Exploit Guard, utilisez l’assistant de déploiement de stratégies Exploit Guard pour les déployer.After you create Exploit Guard policies, use the Deploy Exploit Guard Policy wizard to deploy them. Pour ce faire, ouvrez la console Configuration Manager, accédez à Ressources et Conformité > Endpoint Protection, puis cliquez sur Déployer la stratégie Exploit Guard.To do so, open the Configuration Manager console to Assets and compliance > Endpoint Protection, and then click Deploy Exploit Guard Policy.

Paramètres de la stratégie Windows Defender Exploit GuardWindows Defender Exploit Guard policy settings

Stratégies et options de la réduction de la surface d’attaqueAttack Surface Reduction policies and options

La réduction de la surface d’attaque peut réduire la surface d’attaque de vos applications avec des règles intelligentes qui arrêtent les vecteurs utilisés par les programmes malveillants sur Office, les scripts et l’e-mail.Attack Surface Reduction can reduce the attack surface of your applications with intelligent rules that stop the vectors used by Office, script, and mail-based malware. Découvrez la réduction de la surface d’attaque et les ID d’événement utilisés pour.Learn more about Attack Surface Reduction and the Event IDs used for it.

  • Fichiers et dossiers à exclure des règles de réduction de la surface d’attaque -Cliquez sur Définir et spécifiez les fichiers ou dossiers à exclure.Files and Folders to exclude from Attack Surface Reduction rules - Click on Set and specify any files or folders to exclude.

  • Menaces dans les e-mails :Email Threats:

    • Bloquer le contenu exécutable du client de messagerie et de la messagerie web.Block executable content from email client and webmail.
      • Non configuréNot configured
      • BloquerBlock
      • AuditerAudit
  • Menaces dans Office :Office Threats:

    • Empêcher les applications Office de créer des processus enfants.Block Office application from creating child processes.
      • Non configuréNot configured
      • BloquerBlock
      • AuditerAudit
    • Empêcher les applications Office de créer du contenu exécutable.Block Office applications from creating executable content.
      • Non configuréNot configured
      • BloquerBlock
      • AuditerAudit
    • Empêcher les applications Office d’injecter du code dans d’autres processus.Block Office applications from injecting code into other processes.
      • Non configuréNot configured
      • BloquerBlock
      • AuditerAudit
    • Bloquer les appels d'API Win32 à partir des macros Office.Block Win32 API calls from Office macros.
      • Non configuréNot configured
      • BloquerBlock
      • AuditerAudit
  • Menaces dans les scripts :Scripting Threats:

    • Empêcher JavaScript ou VBScript de lancer du contenu exécutable téléchargé.Block JavaScript or VBScript from launching downloaded executable content.
      • Non configuréNot configured
      • BloquerBlock
      • AuditerAudit
    • Bloquer l’exécution de scripts potentiellement obfusqués.Block execution of potentially obfuscated scripts.
      • Non configuréNot Configured
      • BloquerBlock
      • AuditerAudit
  • Menaces de ransomware : (à compter de Configuration Manager version 1802)Ransomware threats: (starting in Configuration Manager version 1802)

    • Utilise une protection avancée contre les ransomware.Use advanced protection against ransomware.
      • Non configuréNot configured
      • BloquerBlock
      • AuditerAudit
  • Menaces du système d’exploitation : (à compter de Configuration Manager version 1802)Operating system threats: (starting in Configuration Manager version 1802)

    • Bloque les vols d’informations d’identification dans le sous-système d’autorité de sécurité locale Windows.Block credential stealing from the Windows local security authority subsystem.
      • Non configuréNot configured
      • BloquerBlock
      • AuditerAudit
    • Bloque l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence, d’âge ou de liste approuvée.Block executable files from running unless they meet a prevalence, age, or trusted list criteria.
      • Non configuréNot configured
      • BloquerBlock
      • AuditerAudit
  • Menaces d’appareils externes : (à compter de Configuration Manager version 1802)External device threats: (starting in Configuration Manager version 1802)

    • Bloque les processus non approuvés et non signés qui s’exécutent par USB.Block untrusted and unsigned processes that run from USB.
      • Non configuréNot configured
      • BloquerBlock
      • AuditerAudit

Options et stratégies de l’accès contrôlé aux dossiersControlled folder access policies and options

Permet de protéger les fichiers des principaux dossiers système des changements apportés par les applications malveillantes ou suspectes, notamment les programmes malveillants de ransomware de chiffrement de fichiers.Helps protect files in key system folders from changes made by malicious and suspicious apps, including file-encrypting ransomware malware. Découvrez l’accès contrôlé aux dossiers et les ID d’événement qu’il utilise.Learn more about Controlled folder access and the Event IDs it uses.

  • Configurer l’accès contrôlé aux dossiers :Configure Controlled folder access:
    • BloquerBlock
    • Bloquer seulement les secteurs de disque (à compter de Configuration Manager version 1802)Block disk sectors only (starting in Configuration Manager version 1802)
      • Permet d’autoriser l’accès contrôlé aux dossiers seulement pour les secteurs de démarrage et n’active pas la protection de dossiers spécifiques ou des dossiers protégés par défaut.Allows Controlled folder access to be enabled for boot sectors only and does not enable the protection of specific folders or the default protected folders.
    • AuditerAudit
    • Auditer seulement les secteurs de disque (à compter de Configuration Manager version 1802)Audit disk sectors only (starting in Configuration Manager version 1802)
      • Permet d’autoriser l’accès contrôlé aux dossiers seulement pour les secteurs de démarrage et n’active pas la protection de dossiers spécifiques ou des dossiers protégés par défaut.Allows Controlled folder access to be enabled for boot sectors only and does not enable the protection of specific folders or the default protected folders.
    • DisabledDisabled
  • Autoriser des applications via l’accès contrôlé aux dossiers -Cliquez sur Définir et spécifiez des applications.Allow apps through Controlled folder access -Click on Set and specify apps.
  • Dossiers protégés supplémentaires -Cliquez sur Définir et spécifiez des dossiers protégés supplémentaires.Additional protected folders -Click on Set and specify additional protected folders.

Stratégies de protection contre le code malveillantExploit protection policies

Applique des techniques d’atténuation de code malveillant aux processus du système d’exploitation et aux applications que votre organisation utilise.Applies exploit mitigation techniques to operating system processes and apps your organization uses. Vous pouvez exporter ces paramètres à partir de l’application Centre de sécurité Windows Defender sur les appareils Windows 10.These settings can be exported from the Windows Defender Security Center app on Windows 10 devices. En savoir plus sur la protection contre le code malveillantLearn more about Exploit protection

  • Protection contre le code malveillant XML : -Cliquez sur Parcourir et spécifiez le fichier XML à importer.Exploit protection XML: -Click on Browse and specify the XML file to import.

    Avertissement

    Le fichier XML de protection contre le code malveillant doit être sécurisé lorsqu’il est transféré entre des ordinateurs.The XML file for exploit protection should be kept secure when transferring it between machines. Le fichier doit être supprimé après l’importation ou conservé dans un emplacement sécurisé.The file should be deleted after import or kept in a secure location.

Stratégie de protection réseauNetwork protection policy

Permet de réduire la surface d’attaque des appareils face aux attaques basées sur Internet.Helps minimize the attack surface on devices from internet-based attacks. Le service limite l’accès aux domaines suspects pouvant héberger des tentatives d’hameçonnage, ainsi que du code et du contenu malveillants.The service restricts access to suspicious domains that might host phishing scams, exploits, and malicious content. En savoir plus sur la protection réseauLearn more about Network protection

  • Configurer la protection réseau :Configure Network protection:
    • BloquerBlock
    • AuditerAudit
    • DisabledDisabled