Protéger les appareils contre les attaques

S'applique à:

La protection contre les attaques applique automatiquement un certain nombre de techniques d’atténuation des risques aux processus et applications du système d’exploitation.

Cette fonctionnalité fait partie de WindowsDefenderExploitGuard. La protection contre les attaques est prise en charge à partir de Windows 10, version 1709 et de Windows Server 2016, version 1803.

Conseil

Vous pouvez consulter le site Web de Windows Defender Testground sur Demo.WD.Microsoft.com pour vérifier qu’elle fonctionne et comment elle fonctionne.

La protection contre les attaques fonctionne de façon optimale avec Microsoft Defender Advanced Threat Protection , qui vous permet de fournir des informations détaillées sur les événements et les blocs de protection des alertesd’une manière plus courante.

Vous pouvez activer la protection contre les attaques sur un ordinateur individuel, puis utiliser une stratégie de groupe pour distribuer le fichier XML vers plusieurs appareils en même temps.

Lorsqu’une atténuation est trouvée sur l’ordinateur, une notification s’affiche dans le centre de notifications. Vous pouvez personnaliser la notification avec les détails et les coordonnées de l’entreprise. Vous pouvez également activer les règles individuellement afin de personnaliser la façon dont la fonctionnalité contrôle les techniques utilisées.

Vous pouvez également utiliser le mode de vérification pour évaluer la façon dont la protection contre les attaques aurait un impact sur votre organisation si elle a été activée.

Un grande nombre de fonctionnalités d’EMET (Enhanced Mitigation Experience Toolkit) ont été incluses dans ExploitProtection, et vous pouvez convertir et importer des profils de configuration EMET existants dans ExploitProtection. Pour plus d’informations sur la façon dont la protection contre les attaques et les avantages, voir comparaison entre la trousse à outils d’amélioration de l’utilisation améliorée et la protection contre les risques lors de la migration vers Windows 10.

Important

S’il s’agit d’une utilisation de la fonctionnalité de la fonctionnalité, vous devez prendre en considération la fin de vie de la session de Emet le 31 juillet 2018. Vous devez envisager de remplacer la fonction de protection d’outils par un exploit dans Windows 10. Vous pouvez convertir un fichier de configuration de l’Emet existant en protection d’exploit pour faciliter la migration et conserver vos paramètres actuels.

Avertissement

Certaines technologies de prévention de sécurité peuvent présenter des problèmes de compatibilité avec certaines applications. Testez la protection contre les attaques dans tous les scénarios d’utilisation de Target en utilisant le mode d’audit avant de déployer la configuration dans un environnement de production ou le reste de votre réseau.

Passer en revue les événements de protection contre les attaques dans le centre de sécurité Microsoft

Microsoft Defender ATP fournit un rapport détaillé des événements et des blocs dans le cadre de ses scénarios d’enquête par alerte.

Vous pouvez interroger les données de Microsoft Defender ATP en utilisant une chasse avancée. Si vous utilisez le mode d’audit, vous pouvez utiliser la chasse avancée pour voir comment les paramètres de protection des exploits peuvent affecter votre environnement.

Voici un exemple de requête:

MiscEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Passer en revue les événements de protection contre l’exploit dans l’observateur d’événements Windows

Vous pouvez consulter le journal des événements Windows pour afficher les événements qui sont créés lorsque la protection contre les attaques bloque (ou audite) une application:

Fournisseur/source ID d’événement Description
Security-Mitigations 1 ACG audit
Security-Mitigations deuxième ACG enforce
Security-Mitigations 3D Do not allow child processes audit
Security-Mitigations n°4 Do not allow child processes block
Security-Mitigations n°5 Block low integrity images audit
Security-Mitigations 6 Block low integrity images block
Security-Mitigations 6 Block remote images audit
Security-Mitigations version8 Block remote images block
Security-Mitigations 09 Disable win32k system calls audit
Security-Mitigations 0,10 Disable win32k system calls block
Security-Mitigations 27,9 Code integrity guard audit
Security-Mitigations midi Code integrity guard block
Security-Mitigations n°13 EAF audit
Security-Mitigations 13 EAF enforce
Security-Mitigations 0,15 EAF+ audit
Security-Mitigations Seiz EAF+ enforce
Security-Mitigations Play IAF audit
Security-Mitigations 19 IAF enforce
Security-Mitigations 19,6 ROP StackPivot audit
Security-Mitigations CX3-20 ROP StackPivot enforce
Security-Mitigations vingt ROP CallerCheck audit
Security-Mitigations 22 ROP CallerCheck enforce
Security-Mitigations 23 ROP SimExec audit
Security-Mitigations 24 ROP SimExec enforce
WER-Diagnostics n°5 CFG Block
Win32K 260 Untrusted Font

Comparaison entre Enhanced Mitigation Experience Toolkit (EMET) et WindowsDefenderExploitGuard

Important

S’il s’agit d’une utilisation de la fonctionnalité de la fonctionnalité, vous devez prendre en considération la fin de vie de la session de Emet le 31 juillet 2018. Vous devez envisager de remplacer la fonction de protection d’outils par une protection d’exploit dans Microsoft Defender ATP.

Vous pouvez convertir un fichier de configuration de l’Emet existant en protection d’exploit pour faciliter la migration et conserver vos paramètres actuels.

Dans cette section, vous comparez la protection contre les attaques dans Microsoft Defender ATP à l’aide de l’outil d’amélioration des fonctionnalités d’amélioration de l’aide. Le tableau de cette section illustre les différences entre EMET et Windows Defender Exploit Guard.

  Windows Defender Exploit Guard EMET
Versions de Windows Check mark yes
Toutes les versions de Windows10 à partir de la version1709
Check mark yes
Windows8.1; Windows8; Windows7
Ne peut pas être installé sur Windows10, versions1709 et ultérieures
Configuration requise pour l’installation Sécurité Windows dans Windows 10
(aucune autre installation n’est requise)
Windows Defender Exploit Guard est intégré à Windows. Il ne nécessite pas d'outil ou de package distinct pour la gestion, la configuration ou le déploiement.
Disponible uniquement sous la forme d'un téléchargement supplémentaire et doit être installé sur un appareil de gestion
Interface utilisateur Interface moderne intégrée à l' application de sécurité Windows Interface plus ancienne et complexe qui nécessite beaucoup de formation accélérée
Prise en charge Check mark yes
Canal de support dédié basé sur la soumission[1]
Partie de la politique de support de Windows10
Check mark no
Se termine après le 31juillet2018
Mises à jour Check mark yes
Mises à jour et développements de nouvelles fonctionnalités en continu, publiés deux fois par an dans le cadre du Canal semi-annuel de mise à jour Windows10
Check mark no
Aucune mise à jour ni aucun développement planifié
Exploit Protection Check mark yes
Toutes les préventions d'EMET plus de nouvelles préventions spécifiques (voir tableau)
Peut convertir et importer des configurations EMET existantes
Check mark yes
Ensemble limité de préventions
Réduction de la surface d'attaque[2] Check mark yes
Permet de bloquer les vecteurs d’infection connus
Peut configurer des règles individuelles
Check mark yes
Configuration d'ensemble limité de règles réservé uniquement aux modules (aucun processus)
Protection du réseau[2] Check mark yes
Permet de bloquer les connexions réseau malveillantes
Check mark no
Non disponible
Accès contrôlé aux dossiers[2] Check mark yes
Permet de protéger les dossiers importants
Configurable pour les applications et les dossiers
Check mark no
Non disponible
Configuration avec GUI (interface utilisateur) Check mark yes
Utiliser l’application de sécurité Windows pour personnaliser et gérer des configurations
Check mark yes
Nécessite l’installation et l’utilisation de l’outil EMET
Configuration avec la stratégie de groupe Check mark yes
Utiliser la stratégie de groupe pour déployer et gérer des configurations
Check mark yes
Disponible
Configuration avec les outils de l’interpréteur de commandes Check mark yes
Utiliser PowerShell pour personnaliser et gérer des configurations
Check mark yes
Nécessite l’utilisation de l’outil EMET (EMET_CONF)
System Center Configuration Manager Check mark yes
Utiliser le Gestionnaire de Configuration pour personnaliser, déployer et gérer des configurations
Check mark no
Non disponible
MicrosoftIntune Check mark yes
Utiliser Intune pour personnaliser, déployer et gérer des configurations
Check mark no
Non disponible
Rapports Check mark yes
Avec les Journaux des événements Windows et les rapports en mode audit complet
Intégration complète avec Microsoft Defender Advanced Threat Protection
Check mark yes
Analyse limitée du journal des événements Windows
Mode audit Check mark yes
Mode audit complet avec rapports d'événements Windows
Check mark no
Limité aux préventions EAF, EAF+ et anti-ROP

(1) Nécessite un abonnement d’entreprise avec Azure ActiveDirectory ou un ID Software Assurance.

(2) Des conditions supplémentaires peuvent s’appliquer (par exemple, l'utilisation d'Antivirus WindowsDefender). Pour plus d’informations, voir configuration requise de Windows Defender Exploit Guard. Les options de mitigation personnalisables configurées avec la protection contre les attaques ne nécessitent pas l’antivirus Windows Defender.

Comparaison de prévention

Les réductions disponibles dans la fonctionnalité de test de sécurité intégrée à Windows Defender peuvent être intégrées à la protectioncontre les exploits.

Le tableau figurant dans cette section indique la disponibilité et la prise en charge de la protection native entre les outils d’aide à la décision et d’exploitation.

Prévention Disponible dans Windows Defender Exploit Guard Disponible dans EMET
Protection arbitraire du code Check mark yes Check mark yes
Sous forme de «vérification de protection de la mémoire»
Bloquer les images distantes Check mark yes Check mark yes
Sous forme de «vérification de chargement de bibliothèque»
Bloquer les polices non approuvées Check mark yes Check mark yes
Prévention de l’exécution des données (PED) Check mark yes Check mark yes
Exporter le filtrage d’adresses (EAF) Check mark yes Check mark yes
Forcer la randomisation des images (randomisation du format d’espace d’adresse obligatoire) Check mark yes Check mark yes
Prévention de sécurité de page Null Check mark yes
Incluse en natif dans Windows10
Voir Atténuer les menaces à l’aide des fonctionnalités de sécurité Windows10 pour plus d’informations
Check mark yes
Allocations de mémoire aléatoires (randomisation du format d’espace d’adresse de bas en haut) Check mark yes Check mark yes
Simuler l’exécution (SimExec) Check mark yes Check mark yes
Valider l’invocation de l’API (CallerCheck) Check mark yes Check mark yes
Valider les chaînes d’exception (SEHOP) Check mark yes Check mark yes
Valider l’intégrité de la pile (StackPivot) Check mark yes Check mark yes
Certificats de confiance (épinglage de certificat configurable) Windows10 fournit l’épinglage de certificat d’entreprise Check mark yes
Allocation de débordement de tas Inefficace contre les plus récentes attaques de type exploit basées sur les navigateurs. Les nouvelles préventions assurent une meilleure protection
Voir Atténuer les menaces à l’aide des fonctionnalités de sécurité Windows10 pour plus d’informations
Check mark yes
Bloquer les images de faible intégrité Check mark yes Check mark no
Protection de l’intégrité du code Check mark yes Check mark no
Désactiver les points d’extension Check mark yes Check mark no
Désactiver les appels systèmeWin32k Check mark yes Check mark no
Ne pas autoriser les processus enfants Check mark yes Check mark no
Importer le filtrage d’adresses (IAF) Check mark yes Check mark no
Valider l’utilisation de la poignée Check mark yes Check mark no
Valider l’intégrité du tas Check mark yes Check mark no
Valider l’intégrité des dépendances d’images Check mark yes Check mark no

Notes

Les préventions ROP avancées disponibles dans EMET sont remplacées par ACG dans Windows10. D'autres paramètres EMET avancés sont activés par défaut dans Windows Defender Exploit Guard dans le cadre de l’activation des préventions anti-ROP d’un processus.

Voir Atténuer les menaces à l’aide des fonctionnalités de sécurité Windows10 pour en savoir plus sur la manière dont Windows10 utilise la technologie EMET existante.

Rubriquesassociées