Importer, exporter et déployer des configurations de protection contre l’exploit

S'applique à:

ExploitProtection permet de protéger les appareils contre les programmes malveillants qui utilisent des attaques pour se propager et infecter les appareils. Il se compose de plusieurs atténuations qui peuvent être appliquées au niveau du système d’exploitation ou d’une application individuelle.

Cette fonctionnalité fait partie de WindowsDefenderExploitGuard.

Bon nombre des fonctionnalités qui font partie de l’outil de jeu d’outils d’amélioration de l' interface utilisateur sont désormais incluses dans la protection contre les attaques.

Pour créer un ensemble de réductions (appelé Configuration), vous devez utiliser l’application de sécurité Windows ou PowerShell. Vous pouvez ensuite exporter cette configuration sous la forme d’un fichierXML et la partager avec plusieurs ordinateurs de votre réseau afin qu’ils utilisent tous le même ensemble de paramètres d’atténuation.

Vous pouvez également convertir et importer un fichier XML de configuration du journal d’outils existant dans le fichier XML de configuration de la protection contre les attaques.

Cette rubrique décrit comment créer un fichier de configuration et le déployer sur votre réseau, et comment convertir une configuration EMET.

Le package d’évaluation ExploitGuard contient un exemple de fichier de configuration (nommé ProcessMitigation-Selfhost-v4.xml que vous pouvez utiliser pour voir à quoi ressemble la structureXML. L’exemple de fichier contient également des paramètres qui ont été convertis à partir d’une configuration EMET. Vous pouvez ouvrir le fichier dans un éditeur de texte, tel que le bloc-notes, ou l’importer directement dans la protection contre les attaques, puis vérifier les paramètres de l’application de sécurité Windows, comme décrit plus en détail dans cette rubrique.

Créer et exporter un fichier de configuration

Avant d’exporter un fichier de configuration, vous devez vous assurer que les paramètres sont corrects.

Vous devez d’abord configurer la protection contre les attaques sur un ordinateur dédié unique. Pour plus d’informations sur la configuration des réductions, voir personnaliser la protection contre les attaques .

Lorsque vous avez configuré la protection de l’exploit sur votre état souhaité (y compris les atténuations au niveau système et au niveau de l’application), vous pouvez exporter le fichier à l’aide de l’application de sécurité Windows ou PowerShell.

Utiliser l’application de sécurité Windows pour exporter un fichier de configuration

  1. Ouvrez l’application de sécurité Windows en cliquant sur l’icône bouclier dans la barre des tâches ou en effectuant une recherche dans le menu Démarrer pour Defender.

  2. Cliquez sur la vignette Contrôle Applications et navigateur (ou sur l’icône de l’application dans la barre de menus de gauche), puis sur Paramètres ExploitProtection:

    Mise en surbrillance de l’option paramètres de protection des exploits dans l’application de sécurité Windows

  3. Au bas de la section ExploitProtection, cliquez sur Paramètres d’exportation, puis choisissez l’emplacement et le nom du fichierXML dans lequel vous voulez enregistrer la configuration.

Sélection de l’option Paramètres d'exportation

Notes

Lorsque vous exportez les paramètres, tous les paramètres des atténuations au niveau de l’application et du système sont enregistrés. Cela signifie que vous n’avez pas besoin d’exporter un fichier à partir des deux sections Paramètres système et Paramètres du programme; l’une ou l’autre des sections exporte l’ensemble des paramètres.

Utiliser PowerShell pour exporter un fichier de configuration

  1. Tapez powershell dans le menu Démarrer, cliquez avec le bouton droit sur WindowsPowerShell, puis cliquez sur Exécuter en tant qu’administrateur
  2. Entrez l’applet de commande suivante:

    Get-ProcessMitigation -RegistryConfigFilePath filename.xml 
    

Remplacez filename par n’importe quel nom ou emplacement de votre choix.

Exemple de commande Get-ProcessMitigation-RegistryConfigFilePath C:\ExploitConfigfile.xml

Important

Lorsque vous déployez la configuration à l’aide d’une stratégie de groupe, tous les ordinateurs qui utilisent la configuration doivent être en mesure d’accéder au fichier de configuration. Assurez-vous de placer le fichier dans un emplacement partagé.

Importer un fichier de configuration

Vous pouvez importer un fichier de configuration de protection contre l’exploit que vous avez déjà créé. Vous pouvez uniquement utiliser PowerShell pour importer ce fichier de configuration.

Après l’importation, les paramètres seront appliqués instantanément et pourront être examinés dans l’application de sécurité Windows.

Utiliser PowerShell pour importer un fichier de configuration

  1. Tapez powershell dans le menu Démarrer, cliquez avec le bouton droit sur WindowsPowerShell, puis cliquez sur Exécuter en tant qu’administrateur
  2. Entrez l’applet de commande suivante:

    Set-ProcessMitigation -PolicyFilePath filename.xml 
    

Accédez filename à l’emplacement et au nom du fichier XML de protection de l’exploit.

Exemple de commande Set-ProcessMitigation-PolicyFilePath C:\ExploitConfigfile.xml

Important

Vérifiez que vous importez un fichier de configuration créé spécifiquement pour une protection contre l’exploit. Il n’est pas possible d’importer directement un fichier de configuration EMET; vous devez le convertir au préalable.

Convertir un fichier de configuration de l’antivirus en fichier de configuration de protection de l’exploit

Vous pouvez convertir un fichier de configuration de l’outils d’aide à la nouvelle mise en forme utilisée par la protection contre les attaques. Vous devez effectuer cette opération si vous souhaitez importer une configuration de la fonction d’outils de protection de l’exploit dans Windows 10.

Vous pouvez effectuer cette conversion dans PowerShell uniquement.

Avertissement

Vous ne pouvez pas convertir directement les fichiers de configuration EMET par défaut qui sont distribués avec EMET. Ces fichiers sont conçus pour aider à configurer EMET pour un nouvel utilisateur. Si vous essayez de convertir directement ces fichiers en fichier de configuration Exploit Protection, cela ne fonctionnera pas.

Toutefois, si vous souhaitez appliquer les mêmes paramètres que ceux des fichiers de configuration EMET par défaut, vous devez tout d’abord importer le fichier de configuration par défaut dans EMET, puis exporter les paramètres vers un nouveau fichier.

Vous pouvez ensuite convertir ce fichier à l’aide de l’applet de commande PowerShell décrite ici avant d’importer les paramètres dans Exploit Protection.

  1. Tapez powershell dans le menu Démarrer, cliquez avec le bouton droit sur WindowsPowerShell, puis cliquez sur Exécuter en tant qu’administrateur
  2. Entrez l’applet de commande suivante:

    ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
    

Remplacez emetFile par le nom et l’emplacement du fichier de configuration EMET et remplacez filename par l’emplacement et le nom de fichier que vous avez choisis.

Important

Si vous avez activé l’ASLR obligatoire pour les applications d’EMET, exportez les paramètres d’EMET vers un fichier XML, puis convertissez ce fichier XML en fichier de configuration d’Exploit Protection. Vous devrez modifier manuellement le fichier XML converti pour vous assurer que le paramètre d’atténuation de l’ASLR obligatoire est configuré correctement:

  1. Ouvrez le fichier XML converti par PowerShell dans un éditeur de texte.
  2. Recherchez ASLR ForceRelocateImages="false" et remplacez-le par ASLR ForceRelocateImages="true" pour chaque application pour laquelle vous souhaitez activer l’ASLR obligatoire.

Gérer ou déployer une configuration

Vous pouvez utiliser une stratégie de groupe pour déployer la configuration que vous avez créée sur plusieurs ordinateurs de votre réseau.

Important

Lorsque vous déployez la configuration à l’aide d’une stratégie de groupe, tous les ordinateurs qui utilisent la configuration doivent être en mesure d’accéder au fichierXML de configuration. Assurez-vous de placer le fichier dans un emplacement partagé.

Utiliser une stratégie de groupe pour distribuer la configuration

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous souhaitez configurer, puis cliquez sur Modifier.

  2. Dans l' éditeur de gestion des stratégies de groupe , sélectionnez Configuration de l' ordinateur , puis cliquez sur modèles d’administration.

  3. Développez l’arborescence pour afficher les composants > WindowsDefender > protection contre l’exploit.

    Capture d’écran du paramètre de stratégie de groupe pour ExploitProtection

  4. Double-cliquez sur le paramètre Utiliser un ensemble commun de paramètres ExploitProtection et définissez l’option sur Activé.

  5. Dans la section Options::, entrez l’emplacement et le nom de fichier du fichier de configuration ExploitProtection que vous voulez utiliser, comme dans les exemples suivants:

  6. Cliquez sur OK et déployez l’objet de stratégie de groupe mis à jour comme vous le faites normalement.

Rubriques associées