Réduction des surfaces d’attaque grâce aux règles de réduction de surface d’attaque

S'applique à:

Important

Certaines informations concernent la version préliminaire de produits susceptibles d’être considérablement modifiés d’ici leur commercialisation. Microsoft ne donne aucune garantie, expresse ou implicite, concernant les informations fournies ici.

Les règles de réduction de surface d’attaque permettent d’éviter que les programmes malveillants n’utilisent souvent les ordinateurs avec du code malveillant. Vous pouvez définir des règles de réduction de surface d’attaque pour les ordinateurs exécutant Windows 10, version 1704 et 1709 ou version ultérieure, Windows Server 2016 1803 ou version ultérieure, ou Windows Server 2019.

Pour utiliser les règles de réduction de surface d’attaque, vous avez besoin d’une licence Windows 10 entreprise. Si vous disposez d’une licence Windows E5, elle vous offre la possibilité de les gérer de manière avancée. Il s’agit notamment de la surveillance, de l’analyse et des flux de travail disponibles dans Microsoft Defender Advanced Threat Protection, ainsi que des fonctionnalités de création de rapports et de configuration dans le centre de sécurité Microsoft 365. Ces fonctionnalités avancées ne sont pas disponibles avec une licence E3 ou avec Windows 10 entreprise sans abonnement, mais vous pouvez utiliser des événements de règle de réduction de surface d’attaque dans l’observateur d’événements pour faciliter le déploiement.

Les règles de limitation de surface d’attaque permettent aux programmes malveillants et aux applications malveillantes d’avoir généralement recours à des ordinateurs, y compris:

  • Fichiers exécutables et scripts utilisés dans les applications Office ou les messageries web qui tentent de télécharger ou d’exécuter des fichiers
  • Scripts brouillés ou suspects
  • Comportements que les applications ne déclenchent généralement pas pendant les tâches quotidiennes normales

Vous pouvez utiliser le mode de vérification pour évaluer la façon dont les règles de réduction de surface d’attaque affecteraient votre organisation si celles-ci sont activées. Il est préférable d’utiliser d’abord toutes les règles en mode d’audit pour pouvoir comprendre leur impact sur vos applications métier. De nombreuses applications métier sont rédigées avec des problèmes de sécurité limités et peuvent effectuer des tâches similaires aux programmes malveillants. En surveillant les données d’audit et en ajoutant des exclusions pour les applications nécessaires, vous pouvez déployer des règles de réduction de surface d’attaque sans influer sur la productivité.

Les règles déclenchées affichent une notification sur l’appareil. Vous pouvez personnaliser la notification avec les détails et les coordonnées de l’entreprise. La notification s’affiche également dans le centre de sécurité Microsoft Defender et dans le centre de Securty Microsoft 365.

Pour plus d’informations sur la configuration de règles de réduction de surface d’attaque, voir activer les règles de réduction de surface d’attaque.

Passer en revue les événements de réduction de surface d’attaque dans l’observateur d’événements Windows

Vous pouvez consulter le journal des événements Windows pour afficher les événements créés lors du déclenchement des règles de réduction de surface d’attaque:

  1. Téléchargez le package d’évaluation ExploitGuard et extrayez le fichier cfa-events.xml dans un emplacement facile d’accès sur l’ordinateur.

  2. Tapez Observateur d’événements dans le menu Démarrer pour ouvrir l’observateur d’événements Windows.

  3. Dans le volet de gauche, cliquez sur Importer un affichage personnalisé , sous actions.

  4. Sélectionnez le fichier CFA-Events. xml à partir duquel il a été extrait. Vous pouvez également copier le codeXML directement.

  5. Cliquez sur OK.

Cette opération crée un affichage personnalisé qui filtre pour afficher uniquement les événements suivants liés à l’accès contrôlé aux dossiers:

ID d’événement Description
5007 Événement lors de la modification des paramètres
1121 Événement lors du déclenchement de la règle en mode blocage
1122 Événement lors du déclenchement de la règle en mode audit

La «version du moteur» des événements de réduction de surface d’attaque dans le journal des événements est générée par Microsoft Defender ATP, et non par le système d’exploitation. Microsoft Defender ATP est intégré à Windows 10, de sorte que cette fonctionnalité fonctionne sur tous les ordinateurs sur lesquels Windows 10 est installé.

Règles de réduction de la surface d'attaque

Les sections suivantes décrivent chacune des 15 règles de réduction de surface d’attaque. Ce tableau présente les GUID correspondants, que vous utilisez si vous configurez les règles avec une stratégie de groupe ou PowerShell. Si vous utilisez System Center Configuration Manager ou Microsoft Intune, vous n’avez pas besoin des GUID:

Nom de la règle GUID Fichiers & exclusions de dossier
Bloquer le contenu exécutable à partir d'un client de messagerie et d'une messagerie Web BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 Pris en charge
Bloquer toutes les applications Office lors de la création de processus enfants D4F940AB-401B-4EFC-AADC-AD5F3C50688A Pris en charge
Empêcher les applications Office de créer du contenu exécutable 3B576869-A4EC-4529-8536-B80A7769E899 Pris en charge
Empêcher les applications Office d’injecter du code dans d’autres processus 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 Pris en charge
Empêcher JavaScript ou VBScript de lancer du contenu exécutable téléchargé D3E037E1-3EB8-44C8-A917-57927947596D Non prise en charge
Empêcher l’exécution de scripts potentiellement camouflés 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC Pris en charge
Bloquer les appels d’API Win32 à partir d’une macro Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B Pris en charge
Bloquer l’exécution des fichiers exécutables sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance 01443614-CD74-433a-b99e-2ecdc07bfc25 Pris en charge
Utiliser une protection avancée contre les ransomware c1db55ab-c21a-4637-bb3f-a12568109d35 Pris en charge
Bloquer le vol d’informations d’identification à partir du sous-système Windows local Security Authority (lsass. exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Pris en charge
Bloquer les créations de processus provenant de commandes PSExec et WMI d1e49aac-8f56-4280-b9ba-993a6d77406c Non prise en charge
Bloquer les processus non approuvés qui s’exécutent à partir du bus USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Pris en charge
Bloquer une application de communication Office pour la création de processus enfants 26190899-1602-49e8-8b27-eb1d0a1ce869 Pris en charge
Bloquer Adobe Reader pour la création de processus enfants 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Pris en charge
Bloquer la persistance via un abonnement d’événement WMI e6db77e5-3df2-4cf1-b95a-636979351e5b Non prise en charge

Chaque description de la règle indique les applications ou types de fichiers auxquels la règle s’applique. En règle générale, les règles pour les applications Office s’appliquent uniquement à Word, Excel, PowerPoint et OneNote, ou elles s’appliquent à Outlook. À l’exception de celles spécifiées, les règles de réduction de surface d’attaque ne s’appliquent pas à d’autres applications Office.

Bloquer le contenu exécutable à partir d'un client de messagerie et d'une messagerie Web

Cette règle bloque les types de fichiers suivants du lancement à partir de la messagerie électronique dans Microsoft Outlook ou Outlook.com et d’autres fournisseurs de messagerie électronique populaires:

  • Fichiers exécutables (par exemple, .exe, .dll ou .scr)
  • Fichiers de script (par exemple, fichier .ps de PowerShell, .vbs de VisualBasic ou .js de JavaScript)

Nom du Intune: exécution du contenu exécutable (exe, dll, PS, js, vbs, etc.) ignoré de la messagerie électronique (client de messagerie/courrier électronique) (aucune exception)

Nom SCCM: bloquer du contenu exécutable à partir du client de messagerie et du Web

GUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

Bloquer toutes les applications Office lors de la création de processus enfants

Cette règle bloque les applications Office de création de processus enfants. Cela inclut Word, Excel, PowerPoint, OneNote et Access.

Il s’agit d’un comportement de programme malveillant classique, en particulier le programme malveillant qui abuse d’Office en tant que vecteur, à l’aide de macros VBA et de code d’exploit pour télécharger et tenter d’exécuter des charges utiles supplémentaires. Certaines applications métier légitimes peuvent également utiliser des comportements comme celui-ci, y compris la génération d’une invite de commandes ou l’utilisation de PowerShell pour configurer les paramètres du Registre.

Nom du Intune: applications Office lançant un processus enfant

Nom de SCCM: bloquer l’application Office lors de la création de processus enfants

GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Empêcher les applications Office de créer du contenu exécutable

Cette règle empêche les applications Office, telles que Word, Excel et PowerPoint, de créer du contenu exécutable.

Cette règle cible un comportement classique où le programme malveillant utilise Office comme vecteur pour sortir du bureau et enregistrer des composants malveillants sur le disque, s’il persiste et a survécu au redémarrage de l’ordinateur. Cette règle empêche le code malveillant d’être écrit sur le disque.

Nom du Intune: applications ou macros Office créant du contenu exécutable

Nom de SCCM: bloquer le contenu exécutable par les applications Office

GUID: 3B576869-A4EC-4529-8536-B80A7769E899

Empêcher les applications Office d’injecter du code dans d’autres processus

Les agresseurs peuvent tenter d’utiliser les applications Office pour migrer du code malveillant vers d’autres processus par le biais de l’injection de code, de sorte que le code puisse faire office de processus clair. Cette règle bloque les tentatives d’injection de code des applications Office dans d’autres processus. Il n’existe aucun but professionnel légitime connu pour l’utilisation de l’injection de code.

Cette règle s’applique à Word, Excel et PowerPoint.

Nom du Intune: les applications Office injectent du code dans d’autres processus (aucune exception)

Nom SCCM: empêcher les applications Office d’injecter du code dans d’autres processus

GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Empêcher JavaScript ou VBScript de lancer du contenu exécutable téléchargé

Le logiciel malveillant utilise souvent les scripts JavaScript et VBScript pour lancer d’autres applications malveillantes.

Les programmes malveillants écrits en JavaScript ou VBS font souvent Office de Downloader pour extraire et lancer une charge utile Native supplémentaire à partir d’Internet. Cette règle empêche les scripts de lancer le contenu téléchargé, afin d’empêcher toute utilisation malveillante des scripts pour contaminer les programmes malveillants et infecter les machines. Ce n’est pas une utilisation métier courante, mais les applications métier peuvent parfois utiliser des scripts pour télécharger et lancer des programmes de téléchargement. Vous pouvez exclure des scripts pour qu’ils soient autorisés à s’exécuter.

Important

Les exclusions de fichiers et de dossiers ne s’appliquent pas à cette règle de réduction de surface d’attaque.

Nom Intune: charge utile d’exécution de JS/vbs en cours de téléchargement à partir d’Internet (aucune exception)

Nom SCCM: bloquer JavaScript ou VBScript du lancement du contenu exécutable téléchargé

GUID: D3E037E1-3EB8-44C8-A917-57927947596D

Empêcher l’exécution de scripts potentiellement camouflés

Le brouillage des scripts est une technique courante qui permet à la fois aux créateurs de logiciels malveillants et aux applications légitimes d’utiliser pour masquer les temps de chargement des scripts. Cette règle détecte les propriétés suspectes au sein d’un script brouillé.

Nom du Intune: JS/vbs/PS/code macro

Nom SCCM: bloquer l’exécution de scripts potentiellement brouillés.

GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Bloquer les appels d’API Win32 à partir de macros Office

Office VBA offre la possibilité d’utiliser des appels d’API Win32, ce qui peut abuser par un code malveillant. La plupart des organisations n’utilisent pas cette fonctionnalité, mais peuvent continuer à utiliser d’autres fonctionnalités de macro. Cette règle vous permet d’éviter d’utiliser des API Win32 dans les macros VBA, ce qui réduit la surface d’attaque.

Nom du Intune: importation Win32 à partir du code macro Office

Nom SCCM: bloquer les appels d’API Win32 à partir de macros Office

GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Bloquer l’exécution des fichiers exécutables sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance

Cette règle bloque le lancement des types de fichiers suivants, sauf s’ils répondent à un critère de prévalence ou d’âge, ou s’ils sont dans une liste de confiance ou une liste d’exclusion:

  • Fichiers exécutables (par exemple, .exe, .dll ou .scr)

Notes

Pour utiliser cette règle, vous devez activer la protection fournie par le Cloud.

Important

Pour que les fichiers exécutables ne remplissent aucun critère de prévalence, d’âge ou de liste de confiance avec GUID 01443614-CD74-433a-b99e-2ecdc07bfc25 est possédé par Microsoft et n’est pas spécifié par les administrateurs. Il utilise la protection fournie par le Cloud pour mettre à jour sa liste de confiance régulièrement.

Vous pouvez spécifier des fichiers ou des dossiers individuels (à l’aide de chemins de dossiers ou de noms de ressources complets), mais vous ne pouvez pas spécifier les règles ou les exclusions auxquelles s’applique.

Nom du Intune: les exécutables qui ne remplissent pas de critères de prévalence, d’âge ou de liste de confiance.

Nom de SCCM: bloquer l’exécution des fichiers exécutables sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance

GUID: 01443614-CD74-433a-b99e-2ecdc07bfc25

Utiliser une protection avancée contre les ransomware

Cette règle fournit une couche supplémentaire de protection contre les ransomware. Il analyse les fichiers exécutables en entrant le système pour déterminer s’ils sont dignes de confiance. Si les fichiers ressemblent étroitement aux ransomware, cette règle les empêche de s’exécuter, sauf s’ils font partir d’une liste de confiance ou d’une liste d’exclusion.

Notes

Pour utiliser cette règle, vous devez activer la protection fournie par le Cloud.

Nom du Intune: protection de l’antiransomware avancée

Nom SCCM: utiliser une protection avancée contre les ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Bloquer le vol d’informations d’identification à partir du sous-système Windows local Security Authority (lsass. exe)

Le service de sous-système autorité de sécurité locale (LSASS) authentifie les utilisateurs qui se connectent à un ordinateur Windows. Le protecteur des informations d’identification Microsoft Defender dans Windows 10 empêche généralement les tentatives d’extraction des informations d’identification à partir de LSASS. Toutefois, certaines organisations ne peuvent pas activer la protection des informations d’identification sur l’ensemble de leurs ordinateurs en raison de problèmes de compatibilité avec les pilotes Smartcard personnalisés ou d’autres programmes qui sont chargés dans l’autorité de sécurité locale (LSA). Dans ces cas-là, les agresseurs peuvent utiliser des outils tels que Mimikatz pour défragmenter les mots de passe et les hachages NTLM de LSASS. Cette règle permet d’atténuer ce risque en verrouillant LSASS.

Notes

Dans certaines applications, le code énumère tous les processus en cours d’exécution et tente de les ouvrir avec des autorisations complètes. Cette règle refuse l’action d’ouverture du processus de l’application et enregistre les informations dans le journal des événements de sécurité. Cette règle peut générer de nombreux bruits. Si vous disposez d’une application qui énumère plus facilement LSASS, vous devez l’ajouter à la liste d’exclusion. Seul l’entrée du journal des événements indique une menace malveillante.

Nom du Intune: marquer les informations d’identification qui sont dérobees du sous-système Windows local Security Authority

Nom SCCM: bloquer les informations d’identification par le biais du sous-système d’autorité de sécurité local Windows

GUID: 9e6c4e1f-7d60-472f-bA1a-a39ef669e4b2

Bloquer les créations de processus provenant de commandes PSExec et WMI

Cette règle bloque les processus par le biais de commandes PsExec et WMI en cours d’exécution, afin d’éviter l’exécution de code distant capable de propager des attaques par programme malveillant.

Important

Les exclusions de fichiers et de dossiers ne s’appliquent pas à cette règle de réduction de surface d’attaque.

Avertissement

Utilisez cette règle uniquement si vous gérez vos appareils avec Intune ou une autre solution MDM. Cette règle n’est pas compatible avec la gestion via System Center Configuration Manager , car cette règle bloque les commandes WMI que le client SCCM utilise pour fonctionner correctement.

Nom du Intune: création de processus à partir des commandes PSExec et WMI

Nom SCCM: non applicable

GUID: d1e49aac-8F56-4280-b9ba-993a6d77406c

Bloquer les processus non approuvés qui s’exécutent à partir du bus USB

Avec cette règle, les administrateurs peuvent empêcher les fichiers exécutables non signés ou non approuvés de s’exécuter à partir de lecteurs amovibles USB, y compris les cartes SD. Les types de fichiers bloqués sont les suivants:

  • Fichiers exécutables (par exemple, .exe, .dll ou .scr)
  • Fichiers de script (par exemple, fichier .ps de PowerShell, .vbs de VisualBasic ou .js de JavaScript)

Nom du Intune: processus non approuvé et non signé qui s’exécute à partir du bus USB

Nom SCCM: bloquer les processus non approuvés qui s’exécutent à partir du bus USB

GUID: b2b3f03d-6a65-4f7b-A9C7-1c7ef74a9ba4

Bloquer une application de communication Office pour la création de processus enfants

Cette règle empêche Outlook de créer des processus enfants. Il protège contre les attaques par ingénierie sociale et empêche les codes d’exploitation d’abuser d’une vulnérabilité dans Outlook. Pour cela, la règle empêche le lancement d’une charge utile supplémentaire tout en autorisant les fonctions légitimes d’Outlook. Ce service protège également les risques d’utilisation des règles et des formulaires d’Outlook que les agresseurs peuvent utiliser lorsque les informations d’identification d’un utilisateur sont compromises.

Notes

Cette règle s’applique uniquement à Outlook et Outlook.com.

Nom du Intune: création de processus à partir des produits de communication Office (bêta)

Nom SCCM: non encore disponible

GUID: 26190899-1602-49E8-8b27-eb1d0a1ce869

Bloquer Adobe Reader pour la création de processus enfants

Par le biais d’une ingénierie ou d’une exploitation de réseaux sociaux, le programme malveillant peut télécharger et lancer d’autres charges utiles et sortir d’Adobe Reader. Cette règle permet d’empêcher les attaques telles qu’il empêche Adobe Reader de créer des processus supplémentaires.

Nom du Intune: création de processus à partir d’Adobe Reader (bêta)

Nom SCCM: non applicable

GUID: 7674ba52-37eb-4A4F-a9a1-f0f9a1619a2c

Bloquer la persistance via un abonnement d’événement WMI

Les menaces dont le système est doté de diverses tactiques permettent de rester caché, d’éviter de les voir dans le système de fichiers et d’obtenir un contrôle d’exécution périodique. Certaines menaces peuvent abuser du référentiel WMI et du modèle d’événement pour rester caché. Grâce à cette règle, les administrateurs peuvent empêcher les attaques qui abusent de WMI de persister et de rester caché dans le référentiel WMI.

Nom du Intune: bloquer la persistance via un abonnement d’événement WMI

Nom SCCM: non encore disponible

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Rubriques associées