Activer les règles de réduction de surface d’attaque

Les règles de réduction de surface d’attaque permettent d’éviter les actions et applications fréquemment utilisées par les programmes malveillants pour infecter les ordinateurs. Vous pouvez définir des règles de réduction de surface d’attaque pour les ordinateurs exécutant Windows 10 ou Windows Server 2019.

Chaque règle ASR comporte trois paramètres:

  • Non configuré: désactiver la règle ASR
  • Bloquer: activer la règle ASR
  • Audit: évaluer la façon dont la règle ASR aura un impact sur votre organisation si elle est activée

Pour utiliser les règles de ASR, vous avez besoin d’une licence Windows 10 entreprise E3 ou E5. Nous vous recommandons d’utiliser une licence E5 qui vous permet de tirer parti des fonctionnalités de surveillance et de création de rapports avancées disponibles dans Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP). Ces fonctionnalités avancées ne sont pas disponibles avec une licence E3, mais vous pouvez développer vos propres outils de surveillance et de création de rapports à utiliser conjointement avec les règles de récupération automatique du système.

Vous pouvez activer les règles de réduction de surface d’attaque en utilisant l’une des méthodes suivantes:

La gestion au niveau de l’entreprise telle que Intune ou SCCM est recommandée. La gestion au niveau de l’entreprise remplacera tout conflit de stratégie de groupe ou de paramètre PowerShell au démarrage.

Exclure des fichiers et des dossiers des règles ASR

Vous pouvez empêcher les fichiers et les dossiers d’être évalués par la plupart des règles de réduction de surface d’attaque. Cela signifie que même si une règle ASR détermine que le fichier ou le dossier contient des comportements malveillants, il ne bloque pas l’exécution du fichier. Cela risque de permettre à des fichiers potentiellement dangereux de s’exécuter et d’infecter vos appareils.

Avertissement

L’exclusion de fichiers ou de dossiers peut sérieusement réduire la protection fournie par les règles de ASR. Les fichiers exclus seront autorisés à s’exécuter, et aucun État ou événement ne seront enregistrés.

Si les règles de ASR détectent les fichiers que vous estimez qu’il n’est pas possible de détecter, vous devez d' abord utiliser le mode audit pour tester la règle.

Important

Les exclusions de fichiers et de dossiers ne s’appliquent pas aux règles ASR suivantes:

  • Bloquer les créations de processus provenant de commandes PSExec et WMI
  • Empêcher JavaScript ou VBScript de lancer du contenu exécutable téléchargé

Vous pouvez spécifier des fichiers ou des dossiers spécifiques (à l’aide de chemins de dossiers ou de noms de ressources complets), mais vous ne pouvez pas spécifier les règles auxquelles les exclusions s’appliquent. Une exclusion est appliquée uniquement lors du démarrage de l’application ou du service exclus. Par exemple, si vous ajoutez une exclusion pour un service de mise à jour déjà en cours d’exécution, le service de mise à jour continue de déclencher des événements jusqu’à ce que le service soit arrêté et redémarré.

Les règles de récupération automatique prennent en charge les variables d’environnement et les caractères génériques. Pour plus d’informations sur l’utilisation des caractères génériques, voir utiliser des caractères génériques dans les listes nom de fichier et chemin d’accès du dossier ou exclusions d’extensions.

Les procédures suivantes pour activer les règles de récupération automatique incluent des instructions pour l’exclusion de fichiers et de dossiers.

Intune

  1. Dans Intune, sélectionnez **** > profilsde configuration d’appareil. Sélectionnez un profil de protection des points de terminaison existant ou créez-en un. Pour créer un nouveau, sélectionnez créer un profil , puis entrez les informations de ce profil. Pour type de profil, sélectionnez Endpoint Protection. Si vous avez choisi un profil existant, sélectionnez Propriétés , puis sélectionnez paramètres.

  2. Dans le volet protection des points de terminaison , sélectionnez Windows Defender exploit Guard, puis sélectionnez attaquer la réduction de surface. Sélectionnez le paramètre de votre choix pour chaque règle ASR.

  3. Sous exceptions de réduction de surface d’attaque, vous pouvez entrer des fichiers et des dossiers individuels, ou vous pouvez sélectionner Importer pour importer un fichier csv contenant des fichiers et des dossiers à exclure des règles ASR. Chaque ligne du fichier CSV doit avoir le format suivant:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Sélectionnez OK dans les trois volets de configuration, puis sélectionnez créer si vous créez un nouveau fichier de protection des points de terminaison ou Enregistrez -le si vous modifiez un fichier existant.

GPM

Utilisez le fournisseur de services de configuration ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules pour activer individuellement chaque règle et définir le mode pour celle-ci.

Vous trouverez ci-dessous un exemple de référence, à l’aide de valeurs GUID pour les règles ASR.

URL du chemin d’accès de l’URI:./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Valeur: {75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84} = 2 | {3B576869-A4EC-4529-8536-B80A7769E899} = 1 | {D4F940AB-401B-4EfC-AADC-AD5F3C50688A} = 2 | {D3E037E1-3EB8-44C8-A917-57927947596D} = 1 | {5BEB7EFE-FD9A-4556-801D-275E5FFC04CC} = 0 | {BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550} = 1

Les valeurs d’activation, de désactivation ou d’activation en mode d’audit sont les suivantes:

  • Désactiver = 0
  • Bloquer (activer la règle ASR) = 1
  • Audit = 2

Utilisez le fournisseur de services de configuration ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions pour ajouter des exclusions.

Exemple:

URL du chemin d’accès de l’URI:./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Valeur: c:\path | e:\path | c:\Whitelisted.exe

Notes

N’oubliez pas d’entrer les valeurs d’URI OMA sans espaces.

SCCM

  1. Dans System Center Configuration Manager, cliquez sur ressources et > protection > du point de terminaison de la conformitéWindows Defender exploit Guard.
  2. Cliquez sur la page > de création d’unestratégie de protectionde l’exploit.
  3. Entrez un nom et une description, cliquez sur attaquer la réduction de surface, puis cliquez sur suivant.
  4. Sélectionner les règles qui bloqueront ou auditer les actions, puis cliquez sur suivant.
  5. Passez en revue les paramètres, puis cliquez sur suivant pour créer la stratégie.
  6. Une fois la stratégie créée, cliquez sur Fermer.

Stratégie de groupe

Avertissement

Si vous gérez vos ordinateurs et appareils avec Intune, SCCM ou toute autre plateforme de gestion au niveau de l’entreprise, le logiciel de gestion écrasera tout paramètre de stratégie de groupe en conflit au démarrage.

  1. Sur l’ordinateur de gestion des stratégies de groupe, ouvrez la console de gestion des stratégiesde groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous voulez configurer, puis cliquez sur modifier.

  2. Dans l' éditeur de gestion des stratégies de groupe , sélectionnez Configuration de l' ordinateur , puis cliquez sur modèles d’administration.

  3. Développez l’arborescence pour afficher les composants > Windows Defender > protection > contre lesattaques de surfacedans Windows Defender.

  4. Sélectionnez configurer les règles de réduction de surface d’attaque et sélectionnez activé. Vous pouvez ensuite définir l’état individuel de chaque règle dans la section Options:

    • Cliquez sur Afficher... et entrez l’ID de règle dans la colonne Nom de la valeur et l’état requis dans la colonne Valeur comme suit:

      • Désactiver = 0
      • Bloquer (activer la règle ASR) = 1
      • Audit = 2

      Paramètre de stratégie de groupe montrant un ID de règle de réduction de surface d’attaque vide et la valeur 1

  5. Pour exclure des fichiers et des dossiers des règles ASR, sélectionnez les options exclure les fichiers et chemins d’accès des règles de limitation de surface d’attaque et définir l’option sur activé. Cliquez sur Afficher et entrez chaque fichier ou dossier dans la colonne Nom de la valeur. Entrez 0 dans la colonne Valeur pour chaque élément.

PowerShell

Avertissement

Si vous gérez vos ordinateurs et appareils avec Intune, SCCM ou d’autres plateformes de gestion au niveau de l’entreprise, le logiciel de gestion écrasera tout paramètre PowerShell en conflit au démarrage.

  1. Tapez PowerShell dans le menu Démarrer, cliquez avec le bouton droit sur Windows PowerShell , puis cliquez sur exécuter en tant qu’administrateur.

  2. Entrez l’applet de commande suivante:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    

    Pour activer les règles de ASR en mode d’audit, utilisez l’applet de commande suivante:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    

    Pour désactiver les règles ASR, utilisez l’applet de commande suivante:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
    

    Important

    Vous devez spécifier l’État individuellement pour chaque règle, mais vous pouvez combiner des règles et des États dans une liste séparée par des virgules.

    Dans l’exemple suivant, les deux premières règles seront activées, la troisième règle sera désactivée, et quatrième règle quatrième sera activée en mode audit:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
    

    Vous pouvez également utiliser le verbe PowerShell Add-MpPreference pour ajouter de nouvelles règles à la liste existante.

    Avertissement

    Set-MpPreference remplacera toujours l’ensemble de règles existant. Si vous souhaitez que l'ajout s'applique à l'ensemble existant, vous devez utiliser Add-MpPreference à la place. Vous pouvez obtenir une liste des règles et leur état actuel en utilisant Get-MpPreference

  3. Pour exclure des fichiers et des dossiers des règles ASR, utilisez l’applet de commande suivante:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

    Continuez à utiliser Add-MpPreference -AttackSurfaceReductionOnlyExclusions pour ajouter d’autres fichiers et dossiers à la liste.

    Important

    Utilisez Add-MpPreference pour ajouter des applications à la liste. L’utilisation de l’applet de commande Set-MpPreference remplacera la liste existante.

Rubriques associées