Protéger les appareils des attaques

S'applique à:

La fonctionnalité ExploitProtection applique automatiquement plusieurs techniques d’atténuation des attaques aux processus du système d’exploitation et aux applications individuelles.

Elle fait partie de WindowsDefenderExploitGuard. Exploit protection est pris en charge sur Windows 10, version 1709 et versions ultérieure et Windows Server 2016, version 1803 ou version ultérieure.

Conseil

Vous pouvez visiter le site Web Windows Defender Testground à demo.wd.microsoft.com pour vérifier que la fonctionnalité fonctionne bien et voir comment il fonctionne.

Exploit protection fonctionne mieux avec Windows Defender ATP , ce qui vous donne des rapports événements exploit protection et de blocages dans le cadre des scénarios d’investigation d’alertehabituels.

Vous Configurez ces paramètres à l’aide de l’application sécurité Windows ou PowerShell sur un ordinateur individuel, puis exportez la configuration en tant qu’un fichier XML que vous pouvez déployer sur d’autres ordinateurs. Vous pouvez utiliser une stratégie de groupe pour distribuer le fichierXML sur plusieurs appareils à la fois.

Lorsqu’une atténuation est trouvée sur l’ordinateur, une notification s’affiche dans le centre de notifications. Vous pouvez personnaliser la notification avec les détails et les coordonnées de l’entreprise. Vous pouvez également activer les règles individuellement afin de personnaliser la façon dont la fonctionnalité contrôle les techniques utilisées.

Vous pouvez également utiliser le mode audit pour évaluer l’impact de l’exploit protection sur votre organisation si elle était activée.

Un grande nombre de fonctionnalités d’EMET (Enhanced Mitigation Experience Toolkit) ont été incluses dans ExploitProtection, et vous pouvez convertir et importer des profils de configuration EMET existants dans ExploitProtection. Pour plus d’informations sur la façon dont Exploit protection remplace EMET et les avantages lorsque vous envisagez de passer à exploit protection sur Windows 10, consultez comparaison entre Enhanced Mitigation Experience Toolkit et Windows Defender Exploit Guard .

Important

Si vous utilisez EMET actuellement, vous devez être conscient EMET atteint la fin de vie 31 juillet 2018. Vous devez envisager de remplacer EMET par exploit protection dans Windows 10. Vous pouvez convertir un fichier de configuration EMET existant dans exploit protection pour faciliter la migration et conserver vos paramètres existants.

Avertissement

Certaines technologies de prévention de sécurité peuvent présenter des problèmes de compatibilité avec certaines applications. Vous devez tester exploit protection dans tous les scénarios d’utilisation cible à l’aide en mode audit avant de déployer la configuration dans un environnement de production ou dans le reste de votre réseau.

Passez en revue les événements exploit protection dans l’Observateur d’événements Windows

Vous pouvez consulter le journal des événements Windows pour afficher les événements créés quand exploit protection bloque (ou audite) une application:

  1. Téléchargez le package d’évaluation ExploitGuard et extrayez le fichier ep-events.xml dans un emplacement facile d’accès sur l’ordinateur.

  2. Tapez observateur d’événements dans le menu Démarrer pour ouvrir l’observateur d’événements Windows.

  3. Dans le volet gauche, sous Actions, cliquez sur Importer une vue personnalisée...

    GIF animé illustrant le bouton d’importation d'une vue personnalisé dans le volet droit

  4. Accédez à l’emplacement où vous avez extrait le fichier ep-events.xml et sélectionnez-le. Vous pouvez également copier le codeXML directement.

  5. Cliquez sur OK.

  6. Cela crée une vue personnalisée qui filtre les événements de façon à afficher uniquement ceux liés à ExploitProtection:

Fournisseur/source ID d’événement Description
Security-Mitigations 1 ACG audit
Security-Mitigations 2 ACG enforce
Security-Mitigations 3 Do not allow child processes audit
Security-Mitigations 4 Do not allow child processes block
Security-Mitigations 5 Block low integrity images audit
Security-Mitigations 6 Block low integrity images block
Security-Mitigations 7 Block remote images audit
Security-Mitigations 8 Block remote images block
Security-Mitigations 9 Disable win32k system calls audit
Security-Mitigations 10 Disable win32k system calls block
Security-Mitigations 11 Code integrity guard audit
Security-Mitigations 12 Code integrity guard block
Security-Mitigations 13 EAF audit
Security-Mitigations 14 EAF enforce
Security-Mitigations 15 EAF+ audit
Security-Mitigations 16 EAF+ enforce
Security-Mitigations 17 IAF audit
Security-Mitigations 18 IAF enforce
Security-Mitigations 19 ROP StackPivot audit
Security-Mitigations 20 ROP StackPivot enforce
Security-Mitigations 21 ROP CallerCheck audit
Security-Mitigations 22 ROP CallerCheck enforce
Security-Mitigations 23 ROP SimExec audit
Security-Mitigations 24 ROP SimExec enforce
WER-Diagnostics 5 CFG Block
Win32K 260 Untrusted Font

Comparaison entre Enhanced Mitigation Experience Toolkit (EMET) et WindowsDefenderExploitGuard

Important

Si vous utilisez EMET actuellement, vous devez être conscient EMET atteint la fin de vie 31 juillet 2018. Vous devez envisager de remplacer EMET par exploit protection dans Windows Defender ATP.

Vous pouvez convertir un fichier de configuration EMET existant dans exploit protection pour faciliter la migration et conserver vos paramètres existants.

Cette rubrique décrit les différences entre l’améliorer Mitigation Experience Toolkit (EMET) et exploit protection dans Windows Defender ATP.

Exploit protection dans Windows Defender ATP successeur d’EMET et fournit une protection renforcée, plus de personnalisation, une interface utilisateur plus simple et meilleures options de configuration et de gestion.

EMET est un produit autonome pour les versions antérieures de Windows et fournit certaines préventions contre les techniques exploit connues plus anciens.

Après le 31 juillet 2018, il ne sera pas être pris en charge.

Pour plus d’informations sur les fonctionnalités individuelles et les atténuations disponibles dans Windows Defender ATP, mais aussi comment activer, configurer et déployer afin de mieux protéger votre réseau, consultez les rubriques suivantes:

Comparaison des fonctionnalités

Le tableau de cette section illustre les différences entre EMET et Windows Defender Exploit Guard.

  Windows Defender Exploit Guard EMET
Versions de Windows Check mark yes
Toutes les versions de Windows10 à partir de la version1709
Check mark yes
Windows8.1; Windows8; Windows7
Ne peut pas être installé sur Windows10, versions1709 et ultérieures
Configuration requise pour l’installation Sécurité de Windows dans Windows 10
(aucune autre installation n’est requise)
Windows Defender Exploit Guard est intégré à Windows. Il ne nécessite pas d'outil ou de package distinct pour la gestion, la configuration ou le déploiement.
Disponible uniquement sous la forme d'un téléchargement supplémentaire et doit être installé sur un appareil de gestion
Interface utilisateur Interface moderne intégrée avec l' application sécurité Windows Interface plus ancienne et complexe qui nécessite beaucoup de formation accélérée
Prise en charge Check mark yes
Canal de support dédié basé sur la soumission[1]
Partie de la politique de support de Windows10
Check mark no
Se termine après le 31juillet2018
Mises à jour Check mark yes
Mises à jour et développements de nouvelles fonctionnalités en continu, publiés deux fois par an dans le cadre du Canal semi-annuel de mise à jour Windows10
Check mark no
Aucune mise à jour ni aucun développement planifié
Exploit Protection Check mark yes
Toutes les préventions d'EMET plus de nouvelles préventions spécifiques (voir tableau)
Peut convertir et importer des configurations EMET existantes
Check mark yes
Ensemble limité de préventions
Réduction de la surface d'attaque[2] Check mark yes
Permet de bloquer les vecteurs d’infection connus
Peut configurer des règles individuelles
Check mark yes
Configuration d'ensemble limité de règles réservé uniquement aux modules (aucun processus)
Protection du réseau[2] Check mark yes
Permet de bloquer les connexions réseau malveillantes
Check mark no
Non disponible
Accès contrôlé aux dossiers[2] Check mark yes
Permet de protéger les dossiers importants
Configurable pour les applications et les dossiers
Check mark no
Non disponible
Configuration avec GUI (interface utilisateur) Check mark yes
Utiliser l’application sécurité Windows pour personnaliser et gérer des configurations
Check mark yes
Nécessite l’installation et l’utilisation de l’outil EMET
Configuration avec la stratégie de groupe Check mark yes
Utiliser la stratégie de groupe pour déployer et gérer des configurations
Check mark yes
Disponible
Configuration avec les outils de l’interpréteur de commandes Check mark yes
Utiliser PowerShell pour personnaliser et gérer des configurations
Check mark yes
Nécessite l’utilisation de l’outil EMET (EMET_CONF)
System Center Configuration Manager Check mark yes
Utiliser le Gestionnaire de Configuration pour personnaliser, déployer et gérer des configurations
Check mark no
Non disponible
MicrosoftIntune Check mark yes
Utiliser Intune pour personnaliser, déployer et gérer des configurations
Check mark no
Non disponible
Rapports Check mark yes
Avec les Journaux des événements Windows et les rapports en mode audit complet
Intégration complète avec Windows Defender - Protection avancée contre les menaces
Check mark yes
Analyse limitée du journal des événements Windows
Mode audit Check mark yes
Mode audit complet avec rapports d'événements Windows
Check mark no
Limité aux préventions EAF, EAF+ et anti-ROP

(1) Nécessite un abonnement d’entreprise avec Azure ActiveDirectory ou un ID Software Assurance.

(2) Des conditions supplémentaires peuvent s’appliquer (par exemple, l'utilisation d'Antivirus WindowsDefender). Pour plus d’informations, voir configuration requise de Windows Defender Exploit Guard. Options d’atténuation personnalisable qui sont configurées avec exploit protection ne nécessitent pas l’Antivirus Windows Defender.

Comparaison de prévention

Les atténuations disponibles dans EMET sont incluses dans Windows Defender Exploit Guard, sous l' exploiter la fonctionnalité de protection.

Le tableau de cette section indique la disponibilité et prendre en charge des préventions natives entre EMET et exploit protection.

Prévention Disponible dans Windows Defender Exploit Guard Disponible dans EMET
Protection arbitraire du code Check mark yes Check mark yes
Sous forme de «vérification de protection de la mémoire»
Bloquer les images distantes Check mark yes Check mark yes
Sous forme de «vérification de chargement de bibliothèque»
Bloquer les polices non approuvées Check mark yes Check mark yes
Prévention de l’exécution des données (PED) Check mark yes Check mark yes
Exporter le filtrage d’adresses (EAF) Check mark yes Check mark yes
Forcer la randomisation des images (randomisation du format d’espace d’adresse obligatoire) Check mark yes Check mark yes
Prévention de sécurité de page Null Check mark yes
Incluse en natif dans Windows10
Voir Atténuer les menaces à l’aide des fonctionnalités de sécurité Windows10 pour plus d’informations
Check mark yes
Allocations de mémoire aléatoires (randomisation du format d’espace d’adresse de bas en haut) Check mark yes Check mark yes
Simuler l’exécution (SimExec) Check mark yes Check mark yes
Valider l’invocation de l’API (CallerCheck) Check mark yes Check mark yes
Valider les chaînes d’exception (SEHOP) Check mark yes Check mark yes
Valider l’intégrité de la pile (StackPivot) Check mark yes Check mark yes
Certificats de confiance (épinglage de certificat configurable) Windows10 fournit l’épinglage de certificat d’entreprise Check mark yes
Allocation de débordement de tas Inefficace contre les plus récentes attaques de type exploit basées sur les navigateurs. Les nouvelles préventions assurent une meilleure protection
Voir Atténuer les menaces à l’aide des fonctionnalités de sécurité Windows10 pour plus d’informations
Check mark yes
Bloquer les images de faible intégrité Check mark yes Check mark no
Protection de l’intégrité du code Check mark yes Check mark no
Désactiver les points d’extension Check mark yes Check mark no
Désactiver les appels systèmeWin32k Check mark yes Check mark no
Ne pas autoriser les processus enfants Check mark yes Check mark no
Importer le filtrage d’adresses (IAF) Check mark yes Check mark no
Valider l’utilisation de la poignée Check mark yes Check mark no
Valider l’intégrité du tas Check mark yes Check mark no
Valider l’intégrité des dépendances d’images Check mark yes Check mark no

Note

Les préventions ROP avancées disponibles dans EMET sont remplacées par ACG dans Windows10. D'autres paramètres EMET avancés sont activés par défaut dans Windows Defender Exploit Guard dans le cadre de l’activation des préventions anti-ROP d’un processus.

Voir Atténuer les menaces à l’aide des fonctionnalités de sécurité Windows10 pour en savoir plus sur la manière dont Windows10 utilise la technologie EMET existante.

Rubriquesassociées