Activer les règles de réduction de surface d’attaqueEnable attack surface reduction rules

Les règles de réduction de la surface d’attaque (règles de réduction de la surface d’attaque) permettent d’éviter les actions que les programmes malveillants abusent souvent pour compromettre les appareils et les réseaux.Attack surface reduction rules (ASR rules) help prevent actions that malware often abuses to compromise devices and networks. Vous pouvez définir des règles de asr pour les appareils exécutant l’une des éditions et versions suivantes de Windows :You can set ASR rules for devices running any of the following editions and versions of Windows:

Chaque règle asr contient l’un des trois paramètres ci-après :Each ASR rule contains one of three settings:

  • Non configuré : désactiver la règle asrNot configured: Disable the ASR rule
  • Bloquer : activer la règle asrBlock: Enable the ASR rule
  • Audit : évaluer l’impact de la règle asr sur votre organisation si elle est activéeAudit: Evaluate how the ASR rule would impact your organization if enabled

Pour utiliser les règles de la asr, vous devez avoir une licence Windows 10 Entreprise E3 ou E5.To use ASR rules, you must have either a Windows 10 Enterprise E3 or E5 license. Nous vous recommandons d’utiliser des licences E5 pour tirer parti des fonctionnalités avancées de surveillance et de rapport disponibles dans Microsoft Defender for Endpoint (Defender for Endpoint).We recommend E5 licenses so you can take advantage of the advanced monitoring and reporting capabilities that are available in Microsoft Defender for Endpoint (Defender for Endpoint). Les fonctionnalités avancées de surveillance et de rapport ne sont pas disponibles avec une licence E3, mais vous pouvez développer vos propres outils de surveillance et de rapport à utiliser conjointement avec les règles de la asr.Advanced monitoring and reporting capabilities aren't available with an E3 license, but you can develop your own monitoring and reporting tools to use in conjunction with ASR rules.

Conseil

Pour en savoir plus sur les licences Windows, voir Licences Windows 10 et obtenir le guide des licences en volume pour Windows 10.To learn more about Windows licensing, see Windows 10 Licensing and get the Volume Licensing guide for Windows 10.

Vous pouvez activer les règles de réduction de la surface d’attaque à l’aide de l’une de ces méthodes :You can enable attack surface reduction rules by using any of these methods:

La gestion au niveau de l’entreprise telle qu’Intune ou Microsoft Endpoint Manager est recommandée.Enterprise-level management such as Intune or Microsoft Endpoint Manager is recommended. La gestion au niveau de l’entreprise permet d’éviter tout conflit de stratégie de groupe ou de paramètres PowerShell au démarrage.Enterprise-level management will overwrite any conflicting Group Policy or PowerShell settings on startup.

Exclure des fichiers et des dossiers des règles de la asrExclude files and folders from ASR rules

Vous pouvez exclure les fichiers et dossiers de l’évaluation par la plupart des règles de réduction de la surface d’attaque.You can exclude files and folders from being evaluated by most attack surface reduction rules. Cela signifie que même si une règle asr détermine que le fichier ou le dossier contient un comportement malveillant, il ne bloquera pas l’exécution du fichier.This means that even if an ASR rule determines the file or folder contains malicious behavior, it will not block the file from running. Cela risque de permettre à des fichiers potentiellement dangereux de s’exécuter et d’infecter vos appareils.This could potentially allow unsafe files to run and infect your devices.

Vous pouvez également exclure les règles asr du déclenchement en fonction des hages de certificat et de fichier en permettant les indicateurs de certificat et de fichier Defender for Endpoint spécifiés.You can also exclude ASR rules from triggering based on certificate and file hashes by allowing specified Defender for Endpoint file and certificate indicators. (Voir Gérer les indicateurs.)(See Manage indicators.)

Important

L’exclusion de fichiers ou de dossiers peut réduire considérablement la protection fournie par les règles de réduction de la réduction du nombre de messages.Excluding files or folders can severely reduce the protection provided by ASR rules. Les fichiers exclus sont autorisés à s’exécuter et aucun rapport ou événement n’est enregistré.Excluded files will be allowed to run, and no report or event will be recorded. Si les règles de la récupération automatique des données détectent des fichiers qui, selon vous, ne devraient pas être détectés, vous devez d’abord utiliser le mode audit pour tester la règle.If ASR rules are detecting files that you believe shouldn't be detected, you should use audit mode first to test the rule.

Vous pouvez spécifier des fichiers ou des dossiers individuels (à l’aide de chemins d’accès aux dossiers ou de noms de ressources complets), mais vous ne pouvez pas spécifier les règles à laquelle les exclusions s’appliquent.You can specify individual files or folders (using folder paths or fully qualified resource names), but you can't specify which rules the exclusions apply to. Une exclusion est appliquée uniquement au démarrage de l’application ou du service exclu.An exclusion is applied only when the excluded application or service starts. Par exemple, si vous ajoutez une exclusion pour un service de mise à jour déjà en cours d’exécution, le service de mise à jour continue à déclencher des événements jusqu’à ce que le service soit arrêté et redémarré.For example, if you add an exclusion for an update service that is already running, the update service will continue to trigger events until the service is stopped and restarted.

Les règles de la asr prise en charge des variables d’environnement et des caractères génériques.ASR rules support environment variables and wildcards. Pour plus d’informations sur l’utilisation de caractères génériques, voir Utiliser des caractères génériques dans les listes d’exclusions de nom de fichier et de dossier ou d’extension.For information about using wildcards, see Use wildcards in the file name and folder path or extension exclusion lists.

Les procédures suivantes pour l’activation des règles de la asr. contiennent des instructions pour exclure des fichiers et des dossiers.The following procedures for enabling ASR rules include instructions for how to exclude files and folders.

IntuneIntune

  1. Sélectionnez Profils de configuration > d’appareil.Select Device configuration > Profiles. Choisissez un profil de protection de point de terminaison existant ou créez-en un.Choose an existing endpoint protection profile or create a new one. Pour en créer un, sélectionnez Créer un profil et entrez des informations pour ce profil.To create a new one, select Create profile and enter information for this profile. Pour le type de profil, sélectionnez Endpoint Protection.For Profile type, select Endpoint protection. Si vous avez choisi un profil existant, sélectionnez Propriétés, puis Paramètres.If you've chosen an existing profile, select Properties and then select Settings.

  2. Dans le volet de protection des points de terminaison, sélectionnez Windows Defender Exploit Guard, puis sélectionnez Réduction de la surface d’attaque.In the Endpoint protection pane, select Windows Defender Exploit Guard, then select Attack Surface Reduction. Sélectionnez le paramètre souhaité pour chaque règle de asr.Select the desired setting for each ASR rule.

  3. Sous Exceptions de réduction de la surface d’attaque, entrez des fichiers et dossiers individuels.Under Attack Surface Reduction exceptions, enter individual files and folders. Vous pouvez également sélectionner Importer pour importer un fichier CSV qui contient des fichiers et des dossiers à exclure des règles asr.You can also select Import to import a CSV file that contains files and folders to exclude from ASR rules. Chaque ligne du fichier CSV doit être mise en forme comme suit :Each line in the CSV file should be formatted as follows:

    C:\folder, %ProgramFiles%\folder\file,, %ProgramFiles%\folder\file, C:\path

  4. Sélectionnez OK dans les trois volets de configuration.Select OK on the three configuration panes. Sélectionnez Ensuite Créer si vous créez un fichier de protection de point de terminaison ou Enregistrer si vous modifiez un fichier existant.Then select Create if you're creating a new endpoint protection file or Save if you're editing an existing one.

GPMMDM

Utilisez le fournisseur de services de configuration ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules pour activer individuellement chaque règle et définir le mode pour celle-ci.Use the ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules configuration service provider (CSP) to individually enable and set the mode for each rule.

Voici un exemple de référence, à l’aide de valeurs GUID pour les règles asr.The following is a sample for reference, using GUID values for ASR rules.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

Les valeurs à activer, désactiver ou activer en mode audit sont :The values to enable, disable, or enable in audit mode are:

  • Disable = 0Disable = 0
  • Bloc (activer la règle asr) = 1Block (enable ASR rule) = 1
  • Audit = 2Audit = 2

Utilisez le fournisseur de services de configuration ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions pour ajouter des exclusions.Use the ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions configuration service provider (CSP) to add exclusions.

Exemple:Example:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Whitelisted.exe

Notes

N’oubliez pas d’entrer des valeurs OMA-URI sans espaces.Be sure to enter OMA-URI values without spaces.

Microsoft Endpoint Configuration ManagerMicrosoft Endpoint Configuration Manager

  1. Dans Microsoft Endpoint Configuration Manager, sélectionnez Assets and Compliance > Endpoint ProtectionWindows Defender Exploit > Guard.In Microsoft Endpoint Configuration Manager, go to Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard.

  2. Sélectionnez Home > Create Exploit Guard Policy.Select Home > Create Exploit Guard Policy.

  3. Entrez un nom et une description, sélectionnez Réduction de la surfaced’attaque, puis sélectionnez Suivant.Enter a name and a description, select Attack Surface Reduction, and select Next.

  4. Choisissez les règles qui bloqueront ou auditeront les actions et sélectionnez Suivant.Choose which rules will block or audit actions and select Next.

  5. Examinez les paramètres et sélectionnez Suivant pour créer la stratégie.Review the settings and select Next to create the policy.

  6. Une fois la stratégie créée, fermez.After the policy is created, Close.

Stratégie de groupeGroup Policy

Avertissement

Si vous gérez vos ordinateurs et périphériques avec Intune, Configuration Manager ou toute autre plateforme de gestion au niveau de l’entreprise, le logiciel de gestion risque d’éviter les paramètres de stratégie de groupe en conflit au démarrage.If you manage your computers and devices with Intune, Configuration Manager, or other enterprise-level management platform, the management software will overwrite any conflicting Group Policy settings on startup.

  1. Sur l’ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous voulez configurer, puis sélectionnez Modifier.On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.

  2. Dans l’Éditeur de gestion des stratégies degroupe, sélectionnez Configuration ordinateur et sélectionnez Modèles d’administration.In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

  3. Développez l’arborescence des composants Windowsde l’Antivirus > Microsoft DefenderWindows Defender réduction de la surface > **** > d’attaqueExploit Guard.Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Attack surface reduction.

  4. Sélectionnez Configurer les règles de réduction de la surface d’attaque et sélectionnez Activé.Select Configure Attack surface reduction rules and select Enabled. Vous pouvez ensuite définir l’état individuel de chaque règle dans la section Options.You can then set the individual state for each rule in the options section.

    Sélectionnez Afficher... et entrez l’ID de règle dans **** la colonne Nom de la valeur et l’état choisi dans la colonne Valeur comme suit : ****Select Show... and enter the rule ID in the Value name column and your chosen state in the Value column as follows:

    • Disable = 0Disable = 0
    • Bloc (activer la règle asr) = 1Block (enable ASR rule) = 1
    • Audit = 2Audit = 2

    Paramètre de stratégie de groupe affichant un ID de règle de réduction de la surface d’attaque vide et la valeur 1

  5. Pour exclure des fichiers et des dossiers des règles de réduction de la surface d’attaque, sélectionnez le paramètre Exclure les fichiers et les chemins d’accès des règles de réduction de la surface d’attaque et définissez l’option sur Activé.To exclude files and folders from ASR rules, select the Exclude files and paths from Attack surface reduction rules setting and set the option to Enabled. Sélectionnez Afficher et entrez chaque fichier ou dossier dans la colonne Nom de la valeur.Select Show and enter each file or folder in the Value name column. Entrez 0 dans la colonne Valeur pour chaque élément.Enter 0 in the Value column for each item.

Avertissement

N’utilisez pas de guillemets, car ils ne sont pas pris en charge pour la colonne Nom de la valeur ou la colonne Valeur. ****Do not use quotes as they are not supported for either the Value name column or the Value column.

PowerShellPowerShell

Avertissement

Si vous gérez vos ordinateurs et appareils avec Intune, Configuration Manager ou une autre plateforme de gestion au niveau de l’entreprise, le logiciel de gestion risque d’éviter les paramètres PowerShell en conflit au démarrage.If you manage your computers and devices with Intune, Configuration Manager, or another enterprise-level management platform, the management software will overwrite any conflicting PowerShell settings on startup. Pour permettre aux utilisateurs de définir la valeur à l’aide de PowerShell, utilisez l’option « Défini par l’utilisateur » pour la règle dans la plateforme de gestion.To allow users to define the value using PowerShell, use the "User Defined" option for the rule in the management platform.

  1. Tapez powershell dans le menu Démarrer, cliquez avec le bouton droit sur Windows PowerShell puis sélectionnez Exécuter en tant qu’administrateur.Type powershell in the Start menu, right-click Windows PowerShell and select Run as administrator.

  2. Entrez l’applet de commande suivante:Enter the following cmdlet:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    

    Pour activer les règles asr en mode audit, utilisez la cmdlet suivante :To enable ASR rules in audit mode, use the following cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    

    Pour désactiver les règles de la asr, utilisez la cmdlet suivante :To turn off ASR rules, use the following cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
    

    Important

    Vous devez spécifier l’état individuellement pour chaque règle, mais vous pouvez combiner des règles et des états dans une liste séparée par des virgules.You must specify the state individually for each rule, but you can combine rules and states in a comma-separated list.

    Dans l’exemple suivant, les deux premières règles seront activées, la troisième règle sera désactivée, et quatrième règle quatrième sera activée en mode audit:In the following example, the first two rules will be enabled, the third rule will be disabled, and the fourth rule will be enabled in audit mode:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
    

    Vous pouvez également utiliser le verbe Add-MpPreference PowerShell pour ajouter de nouvelles règles à la liste existante.You can also use the Add-MpPreference PowerShell verb to add new rules to the existing list.

    Avertissement

    Set-MpPreference remplacera toujours l’ensemble de règles existant.will always overwrite the existing set of rules. Si vous souhaitez que l'ajout s'applique à l'ensemble existant, vous devez utiliser Add-MpPreference à la place.If you want to add to the existing set, you should use Add-MpPreference instead. Vous pouvez obtenir une liste de règles et leur état actuel à l’aide Get-MpPreference de .You can obtain a list of rules and their current state by using Get-MpPreference.

  3. Pour exclure des fichiers et des dossiers des règles de la asr, utilisez l’cmdlet suivante :To exclude files and folders from ASR rules, use the following cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

    Continuez à Add-MpPreference -AttackSurfaceReductionOnlyExclusions l’utiliser pour ajouter d’autres fichiers et dossiers à la liste.Continue to use Add-MpPreference -AttackSurfaceReductionOnlyExclusions to add more files and folders to the list.

    Important

    Utilisez Add-MpPreference pour ajouter des applications à la liste.Use Add-MpPreference to append or add apps to the list. L’utilisation de l’applet de commande Set-MpPreference remplacera la liste existante.Using the Set-MpPreference cmdlet will overwrite the existing list.

Articles connexesRelated articles