Configurer les contrôles de sécurité en notation sécurisée

S'applique à:

Notes

Le score sécurisé fait désormais partie de Threat & gestion des vulnérabilités comme score de configuration. La page des Notes sécurisées sera disponible dans quelques semaines. Affichez la page des Notes sécurisées .

Chaque contrôle de sécurité recense les recommandations que vous pouvez prendre pour renforcer la sécurité de votre organisation.

Optimisation de la détection et réponse de point de terminaison (EDR)

Un ordinateur bien configuré est conforme à un paramètre de configuration de référence minimum. Cette vignette montre une liste d’actions à appliquer sur les points de terminaison pour respecter le paramètre de configuration de base minimal de votre outil de détection et de réponse aux points de terminaison.

Important

Cette fonctionnalité est disponible pour les ordinateurs sur Windows 10, version 1607 ou ultérieure.

Paramètre de configuration de référence minimale pour EDR:

  • Le capteur Microsoft Defender ATP est activé
  • La collecte des données fonctionne correctement
  • La communication au service ATP Microsoft Defender n’est pas altérée
Actions recommandées:

Vous pouvez effectuer les actions suivantes pour augmenter le score de sécurité globale de votre organisation:

  • Activer le capteur
  • Corriger la collecte de données de capteur
  • Corriger les communications défaillantes

Pour plus d’informations, consultez Corriger les capteurs défectueux.

Optimisation de l’antivirus Microsoft Defender (AV Microsoft Defender)

Un ordinateur bien configuré est conforme à un paramètre de configuration de référence minimum. Cette vignette montre une liste d’actions à appliquer aux points de terminaison pour respecter le paramètre de configuration de base minimal pour Microsoft Defender AV.

Important

Cette fonctionnalité est disponible pour les ordinateurs sur Windows 10, version 1607 ou ultérieure.

Paramètre de configuration de base minimal pour Microsoft Defender AV:

Les machines sont considérées comme bien configurées pour Microsoft Defender AV si les conditions suivantes sont remplies:

  • Le signalement de l’État AV de Microsoft Defender est approprié
  • La fonction AV de Microsoft Defender est activée
  • Les renseignements sur la sécurité sont à jour
  • La protection en temps réel est activée.
  • La protection contre les applications potentiellement indésirables (PUA) est activée
Actions recommandées:

Vous pouvez effectuer les actions suivantes pour augmenter le score de sécurité globale de votre organisation:

Notes

Pour que les propriétés de l’antivirus Microsoft Defender s’affichent, vous devez vous assurer que la protection Cloud de Microsoft Defender antivirus est correctement configurée sur votre ordinateur.

  • Corriger la génération de rapports de l'antivirus
    • Cette recommandation s’affiche lorsque l’antivirus Microsoft Defender n’est pas configuré correctement pour signaler son état d’intégrité. Pour plus d’informations sur la correction de la génération de rapports, voir Configurer et valider des connexions réseau.
  • Activer l'antivirus
  • Mise à jour de l’aide à la sécurité antivirus
  • Activer la protection en temps réel
  • Activer la protection PUA

Pour plus d’informations, voir configurer l’antivirus Microsoft Defender.

Optimisation des mises à jour de sécurité du système d’exploitation

Cette vignette indique le nombre d’ordinateurs qui nécessitent les dernières mises à jour de sécurité. Elle indique également les ordinateurs qui utilisent la dernière version de Windows Insider Preview et sert de rappel pour veiller à ce que les utilisateurs exécutent les dernières builds.

Important

Cette fonctionnalité est disponible pour les ordinateurs sur Windows 10, version 1607 ou ultérieure.

Vous pouvez effectuer les actions suivantes pour augmenter le score de sécurité globale de votre organisation:

  • Installer les dernières mises à jour de sécurité
  • Corriger la collecte de données de capteur
    • Le service Microsoft Defender ATP repose sur la collecte des données de capteur pour déterminer l’état de sécurité d’un ordinateur. Le service ne sera pas en mesure de déterminer l’état de sécurité des ordinateurs qui ne transmettent pas correctement les données de capteur. Il est important de s’assurer que la collecte des données du capteur fonctionne correctement. Pour plus d’informations, consultez Corriger les capteurs défectueux.

Pour plus d’informations, consultez Utilitaire de résolution des problèmes de Windows Update.

Optimisation de Microsoft Defender exploit Guard (Microsoft Defender EG)

Un ordinateur bien configuré est conforme à un paramètre de configuration de référence minimum. Cette vignette montre une liste d’actions à appliquer sur des ordinateurs afin de respecter le paramètre de configuration de base minimal pour Microsoft Defender par exemple. Lorsque les points de terminaison sont configurés conformément au planning de référence des événements de base de Microsoft Defender apparaissent sur la chronologie de l’ordinateur Microsoft Defender ATP.

Important

Ce contrôle de sécurité n’est applicable qu’aux ordinateurs dotés de Windows 10, version 1709 ou ultérieure.

Paramètre de configuration de base minimal pour Microsoft Defender, par exemple:

Les machines sont considérées comme bien configurées pour Microsoft Defender, par exemple si les conditions suivantes sont remplies:

  • Les paramètres de protection de niveau système sont correctement configurés
  • Les règles de Réduction de la surface d’attaque sont correctement configurées
  • Le paramètre d'Accès contrôlé aux dossiers est correctement configuré
Protection de niveau système:

Les paramètres de configuration de niveau système suivants doivent être définis sur On or Force On:

  1. Protection du flux de contrôle
  2. Prévention de l’exécution des données (PED)
  3. Rendre aléatoires les allocations de mémoire (ASLR ascendant)
  4. Valider les chaînes d’exception (SEHOP)
  5. Valider l’intégrité du tas

Notes

Le paramètre Forcer la randomisation pour les images (ASLR obligatoire) est actuellement exclu de la base de référence. Envisagez de configurer Forcer la randomisation pour les images (ASLR obligatoire) sur On or Force On pour une meilleure protection.

Règles de Réduction de la surface d’attaque (ASR):

Les règles ASR suivantes doivent être configurées sur le Mode blocage:

Description de la règle GUID
Bloquer le contenu exécutable du client de messagerie et de la messagerie web BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Empêcher les applications Office de créer des processus enfants D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Empêcher les applications Office de créer du contenu exécutable 3B576869-A4EC-4529-8536-B80A7769E899
Empêcher JavaScript et VBScript de lancer des fichiers exécutables D3E037E1-3EB8-44C8-A917-57927947596D
Bloquer l’exécution de scripts potentiellement camouflés 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Bloquer les importations Win32 à partir de code de macro dans Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Notes

Le paramètre Empêcher les applications Office d’injecter du code dans d’autres processus avec GUID75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 est exclu de la base de référence. Vous pouvez activer cette règle en mode Audit ou en Mode blocage pour une meilleure protection.

Accès contrôlé aux dossiers

Le paramètre Accès contrôlé aux dossiers doit être configuré sur mode Audit ou Activé.

Notes

Le mode d’audit vous permet d’afficher des événements d’audit dans la chronologie de l’ordinateur Microsoft Defender disponible sans bloquer les applications suspectes. Vous pouvez activer l’Accès contrôlé aux dossiers pour une meilleure protection.

Actions recommandées:

Vous pouvez effectuer les actions suivantes pour augmenter le score de sécurité globale de votre organisation:

  • Activer tous les paramètres ExploitProtection de niveau système
  • Définir toutes les règles ASR sur Activé ou en mode Audit
  • Activer l’Accès contrôlé aux dossiers
  • Activer l’antivirus Microsoft Defender sur les ordinateurs compatibles

Pour plus d’informations, reportez-vous à la rubrique Microsoft Defender exploit Guard.

Optimisation de Microsoft Defender application Guard (Microsoft Defender AG)

Un ordinateur bien configuré est conforme à un paramètre de configuration de référence minimum. Cette vignette présente la liste des actions à appliquer aux points de terminaison pour respecter le paramètre de configuration de base minimal pour Microsoft Defender AG. Lorsque les points de terminaison sont configurés conformément au planning de référence, des événements Microsoft Defender AG apparaissent sur la chronologie de l’ordinateur Microsoft Defender ATP.

Important

Ce contrôle de sécurité n’est applicable qu’aux ordinateurs dotés de Windows 10, version 1709 ou ultérieure.

Paramètre de configuration de base minimal pour Microsoft Defender AG:

Les machines sont considérées comme bien configurées pour Microsoft Defender AG si les conditions suivantes sont remplies:

  • La configuration matérielle et logicielle préalable est respectée
  • Microsoft Defender AG est activé sur les ordinateurs compatibles
  • Le mode Géré est activé
Actions recommandées:

Vous pouvez effectuer les actions suivantes pour augmenter le score de sécurité globale de votre organisation:

  • Vérifier que la configuration matérielle et logicielle préalable est respectée

    Notes

    Cet élément d’amélioration ne contribue pas à la note de sécurité en soi, car il ne s’agit pas d’une condition requise pour Microsoft Defender AG. Il fournit une indication d’une raison potentielle pour laquelle Microsoft Defender AG n’est pas activé.

  • Activer Microsoft Defender AG sur des ordinateurs compatibles

  • Activer le mode Géré

Pour plus d’informations, voir vue d’ensemble de Microsoft Defender application Guard.

Optimisation de Microsoft Defender SmartScreen

Un ordinateur bien configuré est conforme à un paramètre de configuration de référence minimum. Cette vignette montre une liste d’actions à appliquer aux points de terminaison pour respecter le paramètre de configuration de base minimal pour Microsoft Defender SmartScreen.

Avertissement

Les données collectées par Microsoft Defender SmartScreen peuvent être stockées et traitées en dehors de l’emplacement de stockage que vous avez sélectionné pour vos données Microsoft Defender ATP.

Important

Ce contrôle de sécurité n’est applicable qu’aux ordinateurs dotés de Windows 10, version 1709 ou ultérieure.

Paramètre de configuration de base minimal pour Microsoft Defender SmartScreen:

Les paramètres suivants doivent être configurés avec les paramètres suivants:

  • Vérifier les applications et les fichiers: Avertir ou Bloquer
  • SmartScreen pour MicrosoftEdge: Avertir ou Bloquer
  • SmartScreen pour les applications du MicrosoftStore: Avertir ou Désactiver

Vous pouvez effectuer les actions suivantes pour augmenter le score de sécurité globale de votre organisation:

  • Définir Vérifier les applications et les fichiers sur Avertir ou Bloquer
  • Définir SmartScreen pour MicrosoftEdge sur Avertir ou Bloquer
  • Définir SmartScreen pour les applications du MicrosoftStore sur Avertir ou Désactiver

Pour plus d’informations, consultez Microsoft Defender SmartScreen.

Optimisation du pare-feu Microsoft Defender

Pour pouvoir utiliser les connexions entrantes par défaut, le pare-feu Microsoft Defender doit être activé et désactivé pour tous les profils. Cette vignette montre une liste d’actions à appliquer aux points de terminaison pour respecter le paramètre de configuration de base minimal pour le pare-feu Microsoft Defender.

Important

Ce contrôle de sécurité n’est applicable qu’aux ordinateurs dotés de Windows 10, version 1709 ou ultérieure.

Paramètre de configuration de base minimal pour le pare-feu Microsoft Defender

  • Le pare-feu Microsoft Defender est activé pour toutes les connexions réseau
  • Sécuriser le profil de domaine en activant le pare-feu Microsoft Defender et en vous assurant que les connexions entrantes sont définies sur bloqué
  • Sécuriser le profil privé en activant le pare-feu Microsoft Defender et en vous assurant que les connexions entrantes sont définies sur bloqué
  • Le profil public sécurisé est configuré en activant le pare-feu Microsoft Defender et en vous assurant que les connexions entrantes sont définies sur bloquées.

Pour plus d’informations sur les paramètres du pare-feu Microsoft Defender, voir paramètres de planification pour une stratégie de pare-feu de base.

Notes

Si le pare-feu Microsoft Defender n’est pas votre pare-feu principal, envisagez de l’exclure des calculs de score de sécurité et assurez-vous que votre pare-feu tiers est configuré de façon sécurisée.

Actions recommandées:

Vous pouvez effectuer les actions suivantes pour augmenter le score de sécurité globale de votre organisation:

  • Activer le pare-feu
  • Profil de domaine sécurisé
  • Profil privé sécurisé
  • Profil public sécurisé
  • Vérifier la configuration sécurisée du pare-feu tiers
  • Corriger la collecte de données de capteur
    • Le service Microsoft Defender ATP repose sur la collecte des données de capteur pour déterminer l’état de sécurité d’un ordinateur. Le service ne sera pas en mesure de déterminer l’état de sécurité des ordinateurs qui ne transmettent pas correctement les données de capteur. Il est important de s’assurer que la collecte des données du capteur fonctionne correctement. Pour plus d’informations, consultez Corriger les capteurs défectueux.

Pour plus d’informations, reportez-vous au pare-feu Microsoft Defender avec sécurité avancée.

Optimisation de BitLocker

Un ordinateur bien configuré est conforme au paramètre de configuration de référence minimum. Cette vignette montre une liste d’actions à appliquer aux points de terminaison pour respecter le paramètre de configuration de base minimal pour BitLocker.

Important

Ce contrôle de sécurité n’est applicable qu’aux ordinateurs dotés de Windows 10, version 1803 ou ultérieure.

Paramètre de configuration de base minimal pour BitLocker

  • Vérifier que tous les lecteurs pris en charge sont chiffrés
  • Assurez-vous que toutes les protections suspendues sur la reprise de la protection des lecteurs
  • Vérifier la compatibilité des lecteurs
Actions recommandées:

Vous pouvez effectuer les actions suivantes pour augmenter le score de sécurité globale de votre organisation:

  • Chiffrer tous les lecteurs pris en charge
  • Reprendre la protection sur tous les lecteurs
  • Vérifier la compatibilité du lecteur
  • Corriger la collecte de données de capteur
    • Le service Microsoft Defender ATP repose sur la collecte des données de capteur pour déterminer l’état de sécurité d’un ordinateur. Le service ne sera pas en mesure de déterminer l’état de sécurité des ordinateurs qui ne transmettent pas correctement les données de capteur. Il est important de s’assurer que la collecte des données du capteur fonctionne correctement. Pour plus d’informations, consultez Corriger les capteurs défectueux.

Pour plus d’informations, voir BitLocker.

Optimisation du garde des informations d’identification Microsoft Defender

Un ordinateur bien configuré est conforme au paramètre de configuration de référence minimum. Cette vignette montre une liste d’actions à appliquer aux points de terminaison pour respecter le paramètre de configuration de base minimal pour le protecteur des informations d’identification de Microsoft Defender.

Important

Ce contrôle de sécurité n’est applicable qu’aux ordinateurs dotés de Windows 10, version 1709 ou ultérieure.

Paramètre de configuration de base minimal pour le Guard des informations d’identification de Microsoft Defender:

Les ordinateurs correctement configurés pour Microsoft Defender Credential Guard répondent à la configuration requise suivante:

  • La configuration matérielle et logicielle préalable est respectée
  • Le protecteur des informations d’identification de Microsoft Defender est activé sur des ordinateurs compatibles
Actions recommandées:

Vous pouvez effectuer les actions suivantes pour augmenter le score de sécurité globale de votre organisation:

  • Vérifier que la configuration matérielle et logicielle préalable est respectée
  • Activer le protection des informations d’identification
  • Corriger la collecte de données de capteur
    • Le service Microsoft Defender ATP repose sur la collecte des données de capteur pour déterminer l’état de sécurité d’un ordinateur. Le service ne sera pas en mesure de déterminer l’état de sécurité des ordinateurs qui ne transmettent pas correctement les données de capteur. Il est important de s’assurer que la collecte des données du capteur fonctionne correctement. Pour plus d’informations, consultez Corriger les capteurs défectueux.

Pour plus d’informations, voir gérer la protection des informations d’identification de Microsoft Defender.

Vous voulez découvrir Microsoft Defender ATP? Inscrivez-vous pour un essai gratuit.

Rubriques associées