Personnaliser les règle de réduction de la surface d’attaqueCustomize attack surface reduction rules

Important

Bienvenue dans Microsoft Defender pour points de terminaison, le nouveau nom de protection avancée contre les menaces Microsoft Defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Pour en savoir plus, consultez cette page.Read more about this and other updates here. Nous allons mettre à jour les noms des produits et des documents dans un futur proche.We'll be updating names in products and in the docs in the near future.

S'applique à:Applies to:

Important

Certaines informations concernent la version préliminaire de produits susceptibles d’être considérablement modifiés d’ici leur commercialisation.Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft ne donne aucune garantie, expresse ou implicite, concernant les informations fournies ici.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Les règles de réduction de surface d’attaque permettent d’empêcher les comportements logiciels qui sont souvent abusés pour endommager votre appareil ou votre réseau.Attack surface reduction rules help prevent software behaviors that are often abused to compromise your device or network. Par exemple, un attaquant peut essayer d’exécuter un script non signé sur un lecteur USB ou disposer d’une macro dans un document Office pour passer des appels directement à l’API Win32.For example, an attacker might try to run an unsigned script off of a USB drive, or have a macro in an Office document make calls directly to the Win32 API. Les règles de réduction de surface d’attaque peuvent limiter ce type de comportement risqué et améliorer la position défensive de votre organisation.Attack surface reduction rules can constrain these kinds of risky behaviors and improve your organization's defensive posture.

Découvrez comment personnaliser les règles de réduction de surface d’attaque en excluant des fichiers et des dossiers ou en ajoutant un texte personnalisé à l' alerte de notification qui s’affiche sur l’ordinateur d’un utilisateur.Learn how to customize attack surface reduction rules by excluding files and folders or adding custom text to the notification alert that appears on a user's computer.

Vous pouvez définir des règles de réduction de surface d’attaque pour les appareils exécutant les éditions et versions suivantes de Windows:You can set attack surface reduction rules for devices running any of the following editions and versions of Windows:

Exclure des fichiers et des dossiersExclude files and folders

Vous pouvez décider d’exclure des fichiers et des dossiers d’être évalués par des règles de réduction de surface d’attaque.You can choose to exclude files and folders from being evaluated by attack surface reduction rules. Lorsque le fichier n’est pas en cours d’exécution, le fichier ne sera pas empêché de s’exécuter, même si une règle de réduction de surface d’attaque détecte que le fichier contient un comportement malveillant.Once excluded, the file won't be blocked from running even if an attack surface reduction rule detects that the file contains malicious behavior.

Avertissement

Cela risque de permettre à des fichiers potentiellement dangereux de s’exécuter et d’infecter vos appareils.This could potentially allow unsafe files to run and infect your devices. L’exclusion de fichiers ou de dossiers peut sérieusement réduire la protection fournie par des règles de réduction de surface d’attaque.Excluding files or folders can severely reduce the protection provided by attack surface reduction rules. Les fichiers qui auraient été bloqués par une règle seront autorisés à s'exécuter et aucun rapport ni événement ne sera enregistré.Files that would have been blocked by a rule will be allowed to run, and there will be no report or event recorded.

Une exclusion s’applique à toutes les règles qui autorisent les exclusions.An exclusion applies to all rules that allow exclusions. Vous pouvez spécifier un fichier individuel, le chemin d’accès d’un dossier ou le nom de domaine complet d’une ressource.You can specify an individual file, folder path, or the fully qualified domain name for a resource. Toutefois, vous ne pouvez pas limiter une exclusion à une règle spécifique.However, you cannot limit an exclusion to a specific rule.

Une exclusion est appliquée uniquement lors du démarrage de l’application ou du service exclus.An exclusion is applied only when the excluded application or service starts. Par exemple, si vous ajoutez une exclusion pour un service de mise à jour déjà en cours d’exécution, le service de mise à jour continue de déclencher des événements jusqu’à ce que le service soit arrêté et redémarré.For example, if you add an exclusion for an update service that is already running, the update service will continue to trigger events until the service is stopped and restarted.

La réduction de surface d’attaque prend en charge les variables d’environnement et les caractères génériques.Attack surface reduction supports environment variables and wildcards. Pour plus d’informations sur l’utilisation des caractères génériques, voir utiliser des caractères génériques dans les listes nom de fichier et chemin d’accès du dossier ou exclusions d’extensions.For information about using wildcards, see use wildcards in the file name and folder path or extension exclusion lists. Si vous rencontrez des problèmes avec des règles qui détectent des fichiers que vous estimez ne pas détecter, Utilisez le mode d’audit pour tester la règle.If you are encountering problems with rules detecting files that you believe should not be detected, use audit mode to test the rule.

Description de la règleRule description GUIDGUID
Bloquer toutes les applications Office lors de la création de processus enfantsBlock all Office applications from creating child processes D4F940AB-401B-4EFC-AADC-AD5F3C50688AD4F940AB-401B-4EFC-AADC-AD5F3C50688A
Empêcher l’exécution de scripts potentiellement camouflésBlock execution of potentially obfuscated scripts 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Bloquer les appels d’API Win32 à partir d’une macro OfficeBlock Win32 API calls from Office macro 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
Empêcher les applications Office de créer du contenu exécutableBlock Office applications from creating executable content 3B576869-A4EC-4529-8536-B80A7769E8993B576869-A4EC-4529-8536-B80A7769E899
Empêcher les applications Office d’injecter du code dans d’autres processusBlock Office applications from injecting code into other processes 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC8475668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
Empêcher JavaScript ou VBScript de lancer du contenu exécutable téléchargéBlock JavaScript or VBScript from launching downloaded executable content D3E037E1-3EB8-44C8-A917-57927947596DD3E037E1-3EB8-44C8-A917-57927947596D
Bloquer le contenu exécutable à partir d'un client de messagerie et d'une messagerie WebBlock executable content from email client and webmail BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Bloquer l’exécution des fichiers exécutables sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confianceBlock executable files from running unless they meet a prevalence, age, or trusted list criteria 01443614-CD74-433a-b99e-2ecdc07bfc2501443614-cd74-433a-b99e-2ecdc07bfc25
Utiliser une protection avancée contre les ransomwareUse advanced protection against ransomware c1db55ab-c21a-4637-bb3f-a12568109d35c1db55ab-c21a-4637-bb3f-a12568109d35
Bloquer le vol d’informations d’identification du sous-système Windows local Security Authority (lsass.exe)Block credential stealing from the Windows local security authority subsystem (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b29e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloquer les créations de processus provenant de commandes PSExec et WMIBlock process creations originating from PSExec and WMI commands d1e49aac-8f56-4280-b9ba-993a6d77406cd1e49aac-8f56-4280-b9ba-993a6d77406c
Bloquer les processus non approuvés qui s’exécutent à partir du bus USBBlock untrusted and unsigned processes that run from USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloquer les applications de communication Office de création de processus enfantsBlock Office communication applications from creating child processes 26190899-1602-49e8-8b27-eb1d0a1ce86926190899-1602-49e8-8b27-eb1d0a1ce869
Bloquer Adobe Reader pour la création de processus enfantsBlock Adobe Reader from creating child processes 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Bloquer la persistance via un abonnement d’événement WMIBlock persistence through WMI event subscription e6db77e5-3df2-4cf1-b95a-636979351e5be6db77e5-3df2-4cf1-b95a-636979351e5b

Pour plus d’informations sur les règles, voir la rubrique réduction de la surface d’attaque .See the attack surface reduction topic for details on each rule.

Utiliser la stratégie de groupe pour exclure des fichiers et des dossiersUse Group Policy to exclude files and folders

  1. Sur l’ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous voulez configurer, puis sélectionnez Modifier.On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.

  2. Dans l' éditeur de gestion des stratégies de groupe, accédez à configuration de l' ordinateur , puis cliquez sur modèles d’administration.In the Group Policy Management Editor, go to Computer configuration and click Administrative templates.

  3. Développez l’arborescence pour afficher composants Windows, puis protection contre les attaques par le biais de l' > infrastructure Microsoft Defender > Windows Defender Exploit Guard > Attack surface reduction.Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Attack surface reduction.

  4. Double-cliquez sur le paramètre Exclure les fichiers et les chemins des règles de réduction de la vulnérabilité aux attaques et définissez l’option sur Activé.Double-click the Exclude files and paths from Attack surface reduction Rules setting and set the option to Enabled. Sélectionnez Afficher et entrez chaque fichier ou dossier dans la colonne nom de la valeur .Select Show and enter each file or folder in the Value name column. Entrez 0 dans la colonne Valeur pour chaque élément.Enter 0 in the Value column for each item.

Avertissement

Ne pas utiliser les guillemets car ils ne sont pas pris en charge pour la colonne nom de la valeur ou valeur .Do not use quotes as they are not supported for either the Value name column or the Value column.

Utiliser PowerShell pour exclure des fichiers et des dossiersUse PowerShell to exclude files and folders

  1. Tapez PowerShell dans le menu Démarrer, cliquez avec le bouton droit sur Windows PowerShell , puis sélectionnez exécuter en tant qu’administrateur .Type powershell in the Start menu, right-click Windows PowerShell and select Run as administrator

  2. Entrez l’applet de commande suivante:Enter the following cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

Continuez à utiliser Add-MpPreference -AttackSurfaceReductionOnlyExclusions pour ajouter d’autres dossiers à la liste.Continue to use Add-MpPreference -AttackSurfaceReductionOnlyExclusions to add more folders to the list.

Important

Utilisez Add-MpPreference pour ajouter des applications à la liste.Use Add-MpPreference to append or add apps to the list. L’utilisation de l’applet de commande Set-MpPreference remplacera la liste existante.Using the Set-MpPreference cmdlet will overwrite the existing list.

Utiliser les fournisseurs de services de configuration GPM pour exclure des dossiers et des fichiersUse MDM CSPs to exclude files and folders

Utilisez le fournisseur de services de configuration ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions pour ajouter des exclusions.Use the ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions configuration service provider (CSP) to add exclusions.

Personnaliser la notificationCustomize the notification

Vous pouvez personnaliser la notification pour le déclenchement d’une règle et le blocage d’une application ou d’un fichier.You can customize the notification for when a rule is triggered and blocks an app or file. Voir l’article de sécurité Windows .See the Windows Security article.

Rubriques associéesRelated topics