Réduire les surfaces d’attaque avec les règles de réduction de la surface d’attaque

S'applique à:

Surface d’attaque les règles permettent de bloquer les actions et les applications qui sont généralement utilisées par exploit programmes malveillants pour infecter les ordinateurs. Cette fonctionnalité fait partie de Windows Defender ATP et fournit:

  • Vous pouvez définir pour activer ou désactiver des comportements spécifiques qui sont généralement utilisées par les applications malveillantes et les programmes malveillants pour infecter les ordinateurs, tels que les règles:
    • Fichiers exécutables et scripts utilisés dans les applications Office ou les messageries web qui tentent de télécharger ou d’exécuter des fichiers
    • Scripts camouflés ou suspects
    • Comportements adoptés par des applications qui ne se produisent généralement pas dans le cadre des activités quotidiennes
  • Surveillance centralisée et de création de rapports avec optique approfondie qui vous aident à connectent les points entre les événements, les ordinateurs et appareils et réseaux
  • Analytique permettent de faciliter le déploiement, à l’aide en mode audit pour afficher l’impact de la règles de réduction de la surface d’attaque sur votre organisation s’ils ont été activés

Lorsqu’une règle de réduction de la surface d’attaque est déclenchée, une notification s’affiche dans le centre de notifications sur l’ordinateur de l’utilisateur. Vous pouvez personnaliser la notification avec les détails et les coordonnées de l’entreprise.

Surface d’attaque est pris en charge sur Windows 10, version 1709 et versions ultérieure et Windows Server 2019.

Conditions préalables

Règles de réduction de la surface d’attaque sont une fonctionnalité de Windows Defender ATP et nécessitent Windows 10 entreprise E5 et protection en temps réel de l’antivirus Windows Defender.

Règles de Réduction de la surface d’attaque

Les sections suivantes décrivent ce que fait chaque règle. Chaque règle est identifié par un GUID de règle, comme dans le tableau suivant.

Nom de la règle GUID
Bloquer le contenu exécutable à partir d'un client de messagerie et d'une messagerie Web BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Bloquer toutes les applications Office de créer des processus enfants D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Empêcher les applications Office de créer du contenu exécutable 3B576869-A4EC-4529-8536-B80A7769E899
Empêcher les applications Office d’injecter du code dans d’autres processus 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
Empêcher JavaScript ou VBScript de lancer du contenu exécutable téléchargé D3E037E1-3EB8-44C8-A917-57927947596D
Bloquer l’exécution de scripts potentiellement camouflés 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Bloquer les appels d’API Win32 à partir d’une macro Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
Bloquer les fichiers exécutables de s’exécuter, sauf si elles répondent une prévalence, âge ou une liste approuvée critères 01443614-cd74-433a-b99e-2ecdc07bfc25
Utiliser la protection avancée contre les ransomware c1db55ab-c21a-4637-bb3f-a12568109d35
Bloquer les informations d’identification vol à partir du sous-système d’autorité de sécurité locale (lsass.exe) Windows 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloquer les créations de processus issus de commandes PSExec et WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Bloquer les processus non approuvés et non signées qui s’exécutent de USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloquer les applications de communication Office de créer des processus enfants 26190899-1602-49e8-8b27-eb1d0a1ce869
Bloc Adobe Reader à partir de créer des processus enfants 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Règle: Bloquer le contenu exécutable du client de messagerie et de la messagerie web

Cette règle bloque l’exécution ou le lancement des types de fichiers suivants à partir d’un message électronique affiché dans MicrosoftOutlook ou une application de messagerie web (par exemple, Gmail.com ou Outlook.com):

  • Fichiers exécutables (par exemple, .exe, .dll ou .scr)
  • Fichiers de script (par exemple, fichier .ps de PowerShell, .vbs de VisualBasic ou .js de JavaScript)
  • Fichiers d’archive de script

Règle: Bloquer toutes les applications Office de créer des processus enfants

Les applications Office ne pourront pas créer de processus enfants. Cela inclut Word, Excel, PowerPoint, OneNote et accès.

Notes

Cela n’inclut pas Outlook. Pour Outlook, reportez-vous à empêcher la communication les applications Office de créer des processus enfants.

Il s’agit du comportement classique d’un logiciel malveillant, particulièrement pour les attaques basées sur une macro qui tentent d’utiliser des applications Office pour lancer ou télécharger des fichiers exécutables malveillants.

Règle: Empêcher les applications Office de créer du contenu exécutable

Cette règle cible des comportements classiques utilisés par les modules complémentaires ou des scripts (extensions) suspects et malveillants qui créent ou lancent des fichiers exécutables. Il s’agit d’une technique classique utilisée par les programmes malveillants.

Les applications Office ne pourront pas utiliser les extensions. En général, ces extensions utilisent des fichiers.wsh (Windows Scripting Host) pour exécuter des scripts qui automatisent certaines tâches ou fournissent des extensions créées par l’utilisateur.

Règle: Empêcher les applications Office d’injecter du code dans d’autres processus

Applications Office, notamment Word, Excel, PowerPoint et OneNote, ne sera pas en mesure d’injecter du code dans d’autres processus.

Cette technique est généralement utilisée par les programmes malveillants pour exécuter du code malveillant visant à empêcher les moteurs d’analyse de détection de virus de détecter leurs activités.

Règle: empêcher JavaScript ou VBScript de lancer du contenu exécutable téléchargé

Les programmes malveillants utilisent parfois des scripts JavaScript et VBScript pour lancer d’autres applications malveillantes.

Cette règle empêche ces scripts de lancer les applications, ce qui évite toute utilisation malveillante de scripts susceptible de propager des programmes malveillants et d’infecter des ordinateurs.

Règle: Bloquer l’exécution de scripts potentiellement camouflés

Les programmes malveillants et autres menaces peuvent tenter de camoufler ou de masquer leur code malveillant dans des fichiers de script.

Cette règle empêche l’exécution de scripts potentiellement camouflés.

Règle: Bloquer les appels d’API Win32 à partir d’une macro Office

Les programmes malveillants peuvent utiliser un code de macro dans les fichiers Office pour importer et charger des DLL Win32, qui peuvent ensuite être utilisées pour effectuer des appels d’API permettant d’infecter davantage l’ensemble du système.

Cette règle tente de bloquer les fichiers Office qui contiennent un code de macro capable d’importer des DLL Win32. Cela inclut Word, Excel, PowerPoint et OneNote.

Règle: Bloquer les fichiers exécutables de s’exécuter, sauf si elles répondent une prévalence, âge ou une liste approuvée critères

Cette règle bloque les types de fichiers suivants à partir de l’exécution ou le lancement, sauf si elles répondent aux prévalence ou critères d’âge définis par les administrateurs, ou ils se trouvent dans une liste approuvée ou une liste d’exclusions:

  • Fichiers exécutables (par exemple, .exe, .dll ou .scr)

Notes

Vous devez Activer la protection fournie par le cloud pour utiliser cette règle.

Règle: Utilisation protection avancée contre les ransomware

Cette règle fournit une couche supplémentaire de protection contre les ransomware. Les fichiers exécutables qui permet d’entrer le système seront analysés pour déterminer s’ils sont dignes de confiance. Si les fichiers présentent des caractéristiques ressemblant étroitement ransomware, ils ne peuvent pas exécuter ou lancée, fourni qu’ils ne sont pas déjà dans la liste approuvée ou de la liste des exceptions.

Notes

Vous devez Activer la protection fournie par le cloud pour utiliser cette règle.

Règle: Informations d’identification bloquer vol à partir du sous-système d’autorité de sécurité locale (lsass.exe) Windows

LSASS local Security Authority sous-système de Service () authentifie les utilisateurs qui se connectent à un ordinateur Windows. Windows Defender Credential Guard dans Windows 10 empêche normalement des tentatives d’extraire les informations d’identification de LSASS. Toutefois, certaines organisations ne peuvent pas activer Credential Guard sur tous leurs ordinateurs en raison de problèmes de compatibilité avec les pilotes de carte à puce personnalisé ou d’autres programmes qui se chargent dans l’autorité de sécurité locale (LSA). Dans ces cas, les pirates peuvent utiliser des outils comme Mimikatz pour capturer les mots de passe en texte clair et des hachages NTLM à partir de LSASS. Cette règle permet de limiter ce risque en verrouillant LSASS.

Notes

Certaines applications sont codées pour énumérer tous les processus en cours d’exécution et essayez de les ouvrir avec des autorisations exhaustives. Cela aboutit à l’application accédant au LSASS même lorsqu’il n’est pas nécessaire. Récupération automatique du système sera refuser l’action d’ouverture du processus de l’application et consigner les détails dans le journal des événements sécurité. Entrée dans le journal des événements pour l’accès est refusé par lui-même n’est pas une indication de la présence d’une menace malveillante.

Règle: Créations de processus bloquer issus de commandes PSExec et WMI

Cette règle bloque les processus par le biais des commandes PsExec et WMI en cours d’exécution, afin d’empêcher l’exécution de code à distance qui se propagent des attaques de programmes malveillants.

Avertissement

[Utilisez uniquement cette règle si vous gérez vos périphériques avec Intune ou une autre solution GPM. Cette règle n’est pas compatible avec la gestion par le biais de System Center Configuration Manager , car cette règle bloque les commandes WMI que le client Configuration Manager utilise pour fonctionner correctement.]

Règle: Bloquer les processus non approuvés et non signées qui s’exécutent de USB

Avec cette règle, les administrateurs peuvent empêcher fiables ou des fichiers exécutables en cours d’exécution à partir de lecteurs USB amovibles, y compris les cartes SD. Bloqué incluent des types de fichier:

  • Fichiers exécutables (par exemple, .exe, .dll ou .scr)
  • Fichiers de script (par exemple, fichier .ps de PowerShell, .vbs de VisualBasic ou .js de JavaScript)

Règle: Application de communication bloquer Office de créer des processus enfants

Outlook ne pourront pas créer de processus enfants.

Il s’agit du comportement classique d’un logiciel malveillant, particulièrement pour les attaques basées sur une macro qui tentent d’utiliser des applications Office pour lancer ou télécharger des fichiers exécutables malveillants.

Notes

Cette règle s’applique uniquement à Outlook.

Règle: Bloquer Adobe Reader à partir de créer des processus enfants

Cette règle bloque Adobe Reader à partir de créer des processus enfants.

Examiner les événements de règle de réduction de la surface attaque dans le centre de sécurité Windows Defender ATP

Windows Defender ATP fournit des rapports détaillés d’événements et les blocs dans le cadre de ses scénarios d’investigation d’alerte.

Vous pouvez interroger les données de Windows Defender ATP à l’aide de avancée. Si vous utilisez le mode audit, vous pouvez utiliser avancée pour voir comment les règles de réduction de la surface d’attaque seraient affectent votre environnement s’ils ont été activés.

Examiner les événements de règle de réduction de la surface attaque dans l’Observateur d’événements Windows

Vous pouvez consulter le journal des événements Windows pour afficher les événements créés lorsqu’une règle de réduction de la surface d’attaque est déclenchée (ou auditée):

  1. Téléchargez le package d’évaluation ExploitGuard et extrayez le fichier asr-events.xml dans un emplacement facile d’accès sur l’ordinateur.

  2. Tapez observateur d’événements dans le menu Démarrer pour ouvrir l’observateur d’événements Windows.

  3. Dans le volet gauche, sous Actions, cliquez sur Importer une vue personnalisée...

  4. Accédez au package d’évaluation ExploitGuard et sélectionnez le fichier asr-events.xml. Vous pouvez également copier le codeXML directement.

  5. Cliquez sur OK.

  6. Cela crée une vue personnalisée qui filtre de façon à afficher uniquement les événements suivants liés aux règles de réduction de la surface d’attaque:

    ID d’événement Description
    5007 Evénement lors de la modification des paramètres
    1122 Événement lors du déclenchement de la règle en mode audit
    1121 Événement lors du déclenchement de la règle en mode blocage

Champs d’événement

  • ID: correspond à l’ID de règle qui a déclenché le blocage/l’audit.
  • Heure de la détection: heure de détection
  • Nom du processus: processus qui a effectué l’opération «» qui a été bloquée/auditée
  • Description: détails supplémentaires sur l’événement ou l’audit, y compris l’intelligence sécurité, le moteur et version du produit de l’Antivirus Windows Defender

Dans Windows 10 entreprise E3 des règles de réduction de la surface d’attaque

Un sous-ensemble de règles de réduction de la surface d’attaque sont également disponibles dans Windows 10 entreprise E3 sans l’avantage de centralisée la surveillance, la création de rapports et analytique. Pour plus d’informations, voir les règles de réduction de la surface d’attaque utilisation dans Windows 10 entreprise E3.

Dans cette section

Rubrique Description
Évaluer les règles de réduction de la surface d’attaque Utilisez un outil pour voir un certain nombre de scénarios qui illustrent comment attaquer travail de règles de réduction de la surface et les événements généralement créés.
Activer les règles de réduction de la surface d’attaque Utiliser Stratégie de groupe, PowerShell ou les CSP GPM pour activer et gérer les règles de réduction de la surface dans votre réseau d’attaque.
Personnaliser les règles de réduction de la surface d’attaque Exclure spécifié de fichiers et dossiers à partir de l’évaluation par attaque règles de réduction de la surface et personnaliser la notification qui s’affiche sur l’ordinateur d’un utilisateur lorsqu’une règle bloque une application ou un fichier.