Contrôle des périphériques USB et autres éléments multimédias amovibles à l’aide de Microsoft Defender ATP

S’applique à: Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)

Microsoft recommande une approche multicouche pour la sécurisation des médias amovibles, et Microsoft Defender ATP fournit plusieurs fonctionnalités de surveillance et de contrôle pour vous permettre d’éviter les menaces liées aux périphériques non autorisés d’attaquer les appareils:

  1. Découvrez les événements connectés plug and Play pour les périphériques dans la chasse avancée de Microsoft Defender. Identifiez ou examinez l’activité d’utilisation suspecte.

  2. Configurer pour autoriser ou bloquer uniquement certains périphériques amovibles et empêcher les menaces.

    1. Autorisez ou bloquez des périphériques amovibles en fonction de la configuration granulaire pour refuser l’accès en écriture à des disques amovibles et approuver ou refuser des périphériques par ID de fournisseur USB, ID de produit, ID d’appareil ou combinaison. Attribution de stratégies flexibles des paramètres d’installation de périphériques en fonction d’une personne ou d’un groupe d’utilisateurs et d’appareils Azure Active Directory (Azure AD).

    2. Interdisez les menaces du stockage amovible introduites par des périphériques de stockage amovibles en activant les éléments suivants:

      • Protection en temps réel de l’antivirus Windows Defender (RTP) pour analyser le stockage amovible contre les programmes malveillants.
      • La règle USB de réduction de surface d’attaque pour bloquer les processus non approuvés qui s’exécutent à partir du bus USB.
      • Les paramètres de protection de DMA (Direct Memory Access) pour limiter les attaques DMA, y compris la protection DMA de noyau pour Thunderbolt et le blocage de DMA jusqu’à ce qu’un utilisateur se connecte.
  3. Créez des alertes personnalisées et des actions de réponse pour contrôler l’utilisation des périphériques amovibles en fonction de ces événements plug-and-Play ou de tout autre événement ATP Microsoft Defender doté de règles de détection personnalisées.

  4. Répondez aux menaces de périphériques en temps réel en fonction des propriétés signalées par chaque périphérique.

Notes

Ces mesures de réduction de menace permettent d’empêcher les programmes malveillants d’arriver dans votre environnement. Pour protéger les données d’entreprise de quittant votre environnement, vous pouvez également configurer des mesures de prévention contre la perte de données. Par exemple, sur les appareils Windows 10, vous pouvez configurer la protection des informations Windowset BitLocker , afin de chiffrer les données d’entreprise, même si celles-ci sont stockées sur un appareil personnel, ou d’utiliser le CSP Storage/RemovableDiskDenyWriteAccess pour Interdisez l’accès en écriture à des disques amovibles. De plus, vous pouvez classifier et protéger des fichiers sur des appareils Windows (y compris les périphériques USB installés) en utilisant Microsoft Defender ATP et Azure information protection.

Détecter les événements connectés plug-and-Play

Vous pouvez afficher les événements connectés plug-and-Play dans la chasse avancée Microsoft Defender ATP pour identifier les activités d’utilisation suspectes ou effectuer des enquêtes internes. Pour obtenir des exemples de requêtes de chasse avancées de Microsoft Defender, voir les requêtes de la recherche de Microsoft Defender ATP GitHub référentiel Samples.

Des exemples de modèles de rapports Power BI sont disponibles pour Microsoft Defender ATP que vous pouvez utiliser pour des requêtes de chasse avancée. Avec ces exemples de modèles, notamment pour le contrôle de l’appareil, vous pouvez intégrer la puissance de la chasse avancée à Power BI. Pour plus d’informations, voir le référentiel GitHub pour les modèles PowerBI . Pour en savoir plus sur l’intégration de Power BI, voir créer des rapports personnalisés à l’aide de Power bi .

Autoriser ou bloquer des périphériques amovibles

Le tableau suivant décrit la façon dont Microsoft Defender ATP peut autoriser ou bloquer des périphériques amovibles en fonction de la configuration granulaire.

Contrôle Description
Restreindre les lecteurs USB et autres périphériques Vous pouvez autoriser ou empêcher les utilisateurs d’installer uniquement les lecteurs USB et autres périphériques inclus dans une liste de périphériques et de types d’appareils non autorisés.
Bloquer l’installation et l’utilisation du stockage amovible Vous ne pouvez pas installer ou utiliser le stockage amovible.
Autoriser l’installation et l’utilisation de périphériques particulièrement approuvés Vous ne pouvez installer et utiliser que des périphériques approuvés qui signalent des propriétés spécifiques dans leur microprogramme.
Empêcher l’installation de périphériques particulièrement interdits Vous ne pouvez pas installer ou utiliser des périphériques interdits pour signaler des propriétés spécifiques dans leur microprogramme.
Autoriser l’installation et l’utilisation de périphériques spécifiquement approuvés avec des ID d’instance d’appareil correspondants Vous ne pouvez installer et utiliser que des périphériques approuvés qui correspondent à l’un de ces identifiants d’instances d’appareil.
Blocage de l’installation et de l’utilisation des périphériques particulièrement interdits avec des ID d’instances d’appareil correspondants Vous ne pouvez pas installer ou utiliser des périphériques interdits correspondant à ces ID d’instances d’appareil.
Limiter les services utilisant la technologie Bluetooth Vous pouvez limiter les services qui peuvent utiliser la technologie Bluetooth.
Utiliser les paramètres de ligne de base de Microsoft Defender ATP Vous pouvez définir la configuration recommandée pour ATP à l’aide du Baseline Security Baseline de Microsoft Defender.

Restreindre les lecteurs USB et autres périphériques

Pour prévenir les infections par programme malveillant ou la perte de données, une organisation risque de limiter les lecteurs USB et autres périphériques. Le tableau suivant décrit la façon dont Microsoft Defender ATP peut vous aider à empêcher l’installation et l’utilisation de lecteurs USB et autres périphériques.

Contrôle Description
Autoriser l’installation et l’utilisation de lecteurs USB et autres périphériques Permettre aux utilisateurs d’installer uniquement les lecteurs USB et autres périphériques inclus dans la liste des appareils ou types d’appareils autorisés
Blocage de l’installation et de l’utilisation des lecteurs USB et des autres périphériques Empêcher les utilisateurs d’installer des lecteurs USB et d’autres périphériques figurant sur une liste des appareils et types d’appareils non autorisés

Tous les contrôles ci-dessus peuvent être définis par le biais des modèles d’administrationIntune. Les stratégies pertinentes se trouvent dans les modèles d’administration Intune:

AdminTemplates

Notes

À l’aide de Intune, vous pouvez appliquer des stratégies de configuration de périphériques aux groupes d’appareils et/ou d’utilisateurs Azure AD. Les stratégies ci-dessus peuvent également être définies par le biais des paramètres de FSC de l' installation de périphériques et des objets de stratégie de l’installation de l' appareil.

Notes

Testez et affinez toujours ces paramètres en utilisant d’abord un groupe pilote d’utilisateurs et d’appareils avant de les appliquer en production. Pour plus d’informations sur le contrôle des appareils USB, voir le blog Microsoft Defender ATP.

Autoriser l’installation et l’utilisation de lecteurs USB et autres périphériques

L’une des méthodes permettant d’installer et d’utiliser des lecteurs USB et d’autres périphériques consiste à commencer par tout. Vous pouvez ensuite commencer à réduire les pilotes USB et autres périphériques admissibles.

Notes

Dans la mesure où un périphérique USB non autorisé peut être doté d’un microprogramme qui falsifie ses propriétés USB, nous vous recommandons de n’autoriser que les périphériques USB approuvés spécifiques et à limiter les utilisateurs autorisés à y accéder.

  1. Activez empêcher l’installation d’appareils non décrits par d’autres paramètres de stratégie pour tous les utilisateurs.
  2. Activez l' installation d’appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareils pour toutes les classes d’installation d’appareils.

Pour appliquer la stratégie pour les appareils déjà installés, appliquez le paramètre empêcher les stratégies ayant ce paramètre.

Lors de la configuration de la stratégie autoriser l’installation de l’appareil, vous devez également autoriser tous les attributs parents. Vous pouvez afficher les parents d’un appareil en ouvrant le gestionnaire de périphériques et en affichage par connexion.

Appareils par connexion

Dans cet exemple, les classes suivantes doivent être ajoutées: HID, Keyboard et {36FC9E60-C465-11CF-8056-444553540000}. Pour plus d’informations, voir pilotes USB fournis par Microsoft .

Contrôleur d’hôte de l’appareil

Si vous souhaitez limiter certains appareils, supprimez la classe de configuration de l’appareil que vous voulez limiter. Ajoutez ensuite l’ID de l’appareil que vous voulez ajouter. Pour rechercher le fournisseur ou l’ID de produit, voir Rechercher l’ID du fabricant de l' appareil ou un ID de produit.

Exemple :

  1. Supprimez la classe USBDevice de l' autorisation d’installation des appareils à l’aide de pilotes correspondantà cette configuration d’appareil.
  2. Ajoutez l’ID du fournisseur ou l’ID de produit pour autoriser l' installation de l’appareil qui correspond à l’un de ces ID d’appareil.

Blocage de l’installation et de l’utilisation des lecteurs USB et des autres périphériques

Si vous voulez empêcher l’installation d’une classe de périphériques ou de certains appareils, vous pouvez utiliser les stratégies de blocage de l’installation de l’appareil:

  1. Activez l’installation d’un appareil qui correspond à l’un de ces ID d’appareil.
  2. Activez empêcher l’installation d’appareils qui correspondent à ces classes d’installation d’appareils.

Notes

Les stratégies de blocage de l’installation de l’appareil sont prioritaires par rapport aux stratégies de l’installation de l’appareil.

Le blocage de l’installation des appareils correspondant à l’une de ces stratégies d’ID d’appareil permet de spécifier une liste d’ID de fournisseurs ou de produits pour les appareils pour lesquels Windows ne peut pas procéder à l’installation.

Pour empêcher l’installation d’appareils correspondant à l’un de ces ID d’appareil:

  1. Recherchez l’ID du fabricant de l’appareil ou l’ID de produit correspondant aux périphériques que vous souhaitez que Windows empêche d’installer. Chercher un fournisseur ou un ID de produit
  2. Activez l' installation d’un appareil qui correspond à l’un de ces ID d’appareil et ajoutez le fournisseur ou les ID de produit à la liste. Ajouter un ID fournisseur pour empêcher la liste

Chercher l’ID du fabricant de l’appareil ou l’ID de produit

Vous pouvez utiliser le gestionnaire de périphériques pour chercher un fournisseur de périphériques ou un ID de produit.

  1. Ouvrez le gestionnaire de périphériques.
  2. Cliquez sur affichage et sélectionnez périphériques par connexion.
  3. Dans l’arborescence, cliquez avec le bouton droit sur le périphérique et sélectionnez Propriétés.
  4. Dans la boîte de dialogue de l’appareil sélectionné, cliquez sur l’onglet Détails .
  5. Cliquez sur la liste déroulante des Propriétés et sélectionnez ID de matériel.
  6. Cliquez avec le bouton droit sur la valeur Top ID et sélectionnez Copy (copier).

Pour plus d’informations sur les formats d’ID de fournisseur et de produit, voir identificateurs USB standard.

Pour plus d’informations sur les ID de fournisseur, voir membres USB.

Voici un exemple qui vous permet de rechercher un ID de fabricant de périphériques ou un ID de produit à l’aide de PowerShell:

Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property * 

Bloquer l’installation et l’utilisation du stockage amovible

  1. Connectez-vous au portail Microsoft Azure.
  2. Cliquez **** > **** > **** sur profils > de configuration de périphériques Intunecréer un profil.

    Créer un profil de configuration d’appareil

  3. Utilisez les paramètres suivants:

    • Nom: tapez un nom pour le profil.
    • Description: tapez une description.
    • Plateforme: Windows 10 et versions ultérieures
    • Type de profil: restrictions d’appareil

    Créer un profil

  4. Cliquez sur configurer > engénéral.

  5. Pour le stockage amovible et la connexion USB (mobile uniquement), choisissez bloquer. Le stockage amovible inclut les lecteurs USB, alors que la connexion USB (mobile uniquement) exclut le débit USB, mais qu’il n’y a aucune autre connexion USB sur les appareils mobiles.

    Paramètres généraux

  6. Cliquez sur OK pour fermer les paramètres généraux et les restrictions de périphériques.

  7. Cliquez sur créer pour enregistrer le profil.

Autoriser l’installation et l’utilisation de périphériques particulièrement approuvés

Les périphériques qui peuvent être installés peuvent être spécifiés par leur identité matérielle. Pour obtenir une liste de structures d’identificateurs courantes, voir formats d’identificateur d’appareil. Testez la configuration avant de la déployer pour vous assurer qu’elle bloque et qu’elle autorise les appareils. Testez idéalement différentes instances du matériel. Par exemple, testez plusieurs clés USB au lieu d’une seule.

Pour obtenir un exemple SyncML qui permet d’installer des ID d’appareil spécifiques, voir FSC DeviceInstallation/AllowInstallationOfMatchingDeviceIDs. Pour autoriser des classes d’appareils spécifiques, consultez fournisseur de services de DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses. L’activation de l’installation de périphériques spécifiques nécessite également l’activation de DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings.

Empêcher l’installation de périphériques particulièrement interdits

Le programme Microsoft Defender ATP bloque l’installation et l’utilisation de périphériques interdits en utilisant l’une des options suivantes:

Autoriser l’installation et l’utilisation de périphériques spécifiquement approuvés avec des ID d’instance d’appareil correspondants

Les périphériques qui peuvent être installés peuvent être spécifiés par leur ID d’instance d’appareil. Testez la configuration avant de la déployer pour vérifier qu’elle autorise les appareils. Testez idéalement différentes instances du matériel. Par exemple, testez plusieurs clés USB au lieu d’une seule.

Vous pouvez autoriser l’installation et l’utilisation de périphériques approuvés avec des ID d’instances d’appareil correspondants en configurant le paramètre de stratégie DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs .

Blocage de l’installation et de l’utilisation des périphériques particulièrement interdits avec des ID d’instances d’appareil correspondants

Les périphériques qui ne sont pas autorisés à être installés peuvent être spécifiés par leur ID d’instance d’appareil. Testez la configuration avant de la déployer pour vérifier qu’elle autorise les appareils. Testez idéalement différentes instances du matériel. Par exemple, testez plusieurs clés USB au lieu d’une seule.

Vous pouvez empêcher l’installation des périphériques interdits avec des ID d’instances d’appareil correspondants en configurant le paramètre de stratégie DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs .

Limiter les services utilisant la technologie Bluetooth

À l’aide de Intune, vous pouvez limiter les services qui peuvent utiliser la technologie Bluetooth par le biais des «services Bluetooth autorisés». L’État par défaut des paramètres «Bluetooth allowed services» signifie que tout est autorisé. Dès qu’un service est ajouté, il devient la liste autorisée. Si le client ajoute les valeurs claviers et souris, et n’ajoute pas les GUID de transfert de fichier, le transfert de fichier doit être bloqué.

Bluetooth

Utiliser les paramètres de ligne de base de Microsoft Defender ATP

Les paramètres de ligne de base de Microsoft Defender ATP représentent la configuration recommandée pour ATP. Les paramètres de configuration pour le planning de référence se trouvent dans la page modifier le profil des paramètres de configuration.

Plannings

Empêcher les menaces d’un stockage amovible

Les périphériques de stockage amovibles peuvent introduire de plus risques en matière de sécurité pour votre organisation. Microsoft Defender ATP peut vous aider à identifier et bloquer des fichiers malveillants sur des appareils de stockage amovibles.

Microsoft Defender ATP peut également empêcher l’utilisation de périphériques USB sur des appareils pour lutter contre les risques externes. Pour cela, il est possible d’utiliser les propriétés signalées par des périphériques USB pour déterminer s’ils peuvent être installés et utilisés sur l’appareil.

Notez que si vous bloquez des appareils USB ou d’autres classes d’appareil à l’aide des stratégies d’installation de périphériques, les appareils connectés, tels que les téléphones, peuvent rester facturés.

Notes

Testez et affinez toujours ces paramètres en utilisant d’abord un groupe pilote d’utilisateurs et d’appareils avant la distribution de votre organisation.

Le tableau suivant décrit la façon dont Microsoft Defender ATP peut vous aider à éviter les menaces de stockage amovible.

Pour plus d’informations sur le contrôle des appareils USB, voir le blog Microsoft Defender ATP.

Contrôle Description
Activer l’analyse de l’antivirus Windows Defender Activer l’analyse de l’antivirus Windows Defender pour une protection en temps réel ou des analyses planifiées.
Bloquer les processus non approuvés et non signés sur les périphériques USB Bloquer les fichiers USB qui ne sont pas signés ou qui ne sont pas approuvés.
Protection contre les attaques par DMA Configurer les paramètres pour une protection contre les attaques par DMA.

Notes

Dans la mesure où un périphérique USB non autorisé peut être doté d’un microprogramme qui falsifie ses propriétés USB, nous vous recommandons de n’autoriser que les périphériques USB approuvés spécifiques et à limiter les utilisateurs autorisés à y accéder.

Activer l’analyse de l’antivirus Windows Defender

La protection de stockage amovible autorisé à l’aide de l’antivirus Windows Defender nécessite l’activation de la protection en temps réel ou la planification de l’analyse et la configuration des lecteurs amovibles pour les analyses.

  • Si la protection en temps réel est activée, les fichiers sont numérisés avant d’être consultés et exécutés. L’étendue de l’analyse inclut tous les fichiers, y compris ceux des périphériques amovibles installés tels que les lecteurs USB. Vous pouvez éventuellement exécuter un script PowerShell pour effectuer une analyse personnalisée d’un lecteur USB après son montage, afin que l’antivirus Windows Defender démarre l’analyse de tous les fichiers sur un périphérique amovible une fois que le périphérique amovible est attaché. Toutefois, nous vous recommandons d’activer la protection en temps réel pour améliorer les performances de l’analyse, en particulier pour les gros périphériques de stockage.
  • Si les analyses planifiées sont utilisées, vous devez désactiver le paramètre DisableRemovableDriveScanning (activé par défaut) pour analyser le périphérique amovible lors d’une analyse complète. Les périphériques amovibles sont analysés lors d’une analyse personnalisée ou personnalisée, quel que soit le paramètre DisableRemovableDriveScanning.

Notes

Nous vous recommandons d’activer la surveillance en temps réel de l’analyse. Dans Intune, vous pouvez activer la surveillance en temps réel pour Windows 10 dans restrictions > d’appareilsconfiguration > de l'antivirus > Windows Defender en tempsréel.

Bloquer les processus non approuvés et non signés sur les périphériques USB

Les utilisateurs finaux peuvent brancher des périphériques amovibles infectés par un logiciel malveillant. Pour prévenir les infections, une entreprise peut bloquer les fichiers USB non signés ou non approuvés. Par ailleurs, les sociétés peuvent utiliser la fonctionnalité d’audit des règles de réduction de surface d’attaque pour surveiller l’activité de processus non approuvés et non. Pour cela, vous devez définir des processus non approuvés et non signés qui s’exécutent à partir du bus USB pour bloquer ou auditer uniquement, respectivement. Avec cette règle, les administrateurs peuvent interdire ou auditer des fichiers exécutables non signés ou approuvés de sorte qu’ils s’exécutent à partir de périphériques amovibles USB, y compris des cartes SD. Les types de fichiers concernés incluent les fichiers exécutables (par exemple,. exe,. dll ou. SCR) et les fichiers de script tels qu’un fichier PowerShell (. PS), VisualBasic (. vbs) ou JavaScript (. js).

Ces paramètres nécessitent l’activation de la protection en temps réel.

  1. Connectez-vous au portail Microsoft Azure.
  2. Cliquez **** > **** > **** sur profils > de configuration de périphériques Intunecréer un profil.

    Créer un profil de configuration d’appareil

  3. Utilisez les paramètres suivants:

    • Nom: tapez un nom pour le profil.
    • Description: tapez une description.
    • Plateforme: Windows 10 ou version ultérieure
    • Type de profil: Endpoint Protection

    Créer un profil de protection des points de terminaison

  4. Cliquez sur configurer > Windows Defender exploit Guard protection > surface difaction.

  5. Pour les processus non signés et non approuvés qui s’exécutent à partir du bus USB, choisissez bloquer.

    Bloquer les processus non approuvés

  6. Cliquez sur OK pour fermer la réduction de surface d’attaque, le protecteur d' exploitation Windows Defenderet la protection de point de terminaison.

  7. Cliquez sur créer pour enregistrer le profil.

Protection contre les attaques par DMA

Les attaques par DMA peuvent entraîner la divulgation d’informations sensibles qui se trouvent sur un PC, ou même pour une injection de logiciels malveillants qui permettent aux agresseurs de contourner le contrôle de l’écran de verrouillage ou de contrôler les PC à distance. Les paramètres suivants permettent d’empêcher les attaques par DMA:

  1. À compter de la version 1803 de Windows 10, Microsoft a introduit la protection DMA kernel pour Thunderbolt afin de fournir une protection Native contre les attaques par DMA via les ports Thunderbolt. La protection de DMA en noyau pour Thunderbolt est activée par les fabricants de systèmes et ne peut pas être activée ou désactivée par les utilisateurs.

    À partir de la version 1809 de Windows 10, vous pouvez régler le niveau de protection de DMA du noyau en configurant le fournisseur de services de protection de DMA Guard. Il s’agit d’un contrôle supplémentaire pour les périphériques qui ne prennent pas en charge l’isolement de mémoire de l’appareil (également connu sous le nom de DMA-remappage). L’isolement de mémoire permet au système d’exploitation d’exploiter l’unité de gestion de la mémoire d’e/s d’un appareil pour bloquer les e/s ou l’accès à la mémoire, par le périphérique (sandbox). En d’autres termes, le système d’exploitation attribue une certaine plage de mémoire au périphérique. Si le périphérique tente de lire/écrire dans la mémoire en dehors de la plage affectée, le système d’exploitation le bloque.

    Les périphériques qui prennent en charge l’isolation de mémoire d’appareil peuvent toujours se connecter. Les périphériques qui ne peuvent pas être bloqués, autorisés ou autorisés uniquement une fois que l’utilisateur se connecte (par défaut).

  2. Sur les systèmes Windows 10 qui ne prennent pas en charge la protection DMA du noyau, vous pouvez:

Créer des alertes personnalisées et des actions de réponse

Vous pouvez créer des alertes personnalisées et des actions de réponse avec le connecteur WDATP et les règles de détection personnalisées:

Actions de réponse de connecteur Wdatp:

Examen: Lancer des investigations, rassembler le package d’investigation et isoler un ordinateur.

Analyse des menaces sur les appareils USB.

Restreignez l’exécution de toutes les applications sur l’ordinateur, à l’exception d’un connecteur MDATP jeu prédéfini, qui est l’un des liens prédéfinis 200, dont Outlook, équipes, marge, etc. Les connecteurs personnalisés peuvent être créés.

Action de réponse aux règles de détection personnalisée: Les actions sur les ordinateurs et au niveau des fichiers peuvent être appliquées.

Pour plus d’informations sur le contrôle de périphérique associé aux événements de la chasse et des exemples sur la façon de créer des alertes personnalisées, voir mises à jour avancées de la chasse: événements USB, actions au niveau de l’ordinateur et modifications de schéma.

Répondre aux menaces

Vous pouvez créer des alertes personnalisées et des actions de réponse automatique à l’aide des règles de détection personnalisées Microsoft Defender ATP. Les actions de réponse dans le cadre de la détection personnalisée couvrent les actions au niveau de l’ordinateur et du fichier. Vous pouvez également créer des alertes et des actions de réponse automatique à l’aide de PowerApp et du flux avec le Connecteur Microsoft Defender ATP. Le connecteur prend en charge les actions d’examen, d’analyse des menaces et de limitation des applications en cours d’exécution. Il s’agit de l’un des liens prédéfinis 200, dont Outlook, équipes, marge, etc. Il est également possible de créer des connecteurs personnalisés. Pour en savoir plus sur les connecteurs, voir connecteurs .

Par exemple, dans le cadre de l’une des deux approches, vous pouvez automatiquement utiliser l’antivirus Microsoft Defender lorsqu’un appareil USB est monté sur un ordinateur.

Rubriques associées