Démonstrations des règles de réduction de la surface d’attaque
S’applique à :
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour les PME
- Microsoft Defender pour point de terminaison Plan 1
- Antivirus Microsoft Defender
Les règles de réduction de la surface d’attaque ciblent des comportements spécifiques qui sont généralement utilisés par les logiciels malveillants et les applications malveillantes pour infecter des machines, comme :
- Fichiers exécutables et scripts utilisés dans les applications Office ou la messagerie web qui tentent de télécharger ou d’exécuter des fichiers
- Scripts obfusqués ou suspects
- Comportements que les applications effectuent et qui ne sont pas initiés pendant le travail quotidien normal
Configuration requise et configuration du scénario
- Windows 11, Windows 10 1709 build 16273 ou ultérieure
- Windows Server 2022, Windows Server 2019, Windows Server 2016 ou Windows Server 2012 R2 avec le client MDE unifié.
- Antivirus Microsoft Defender
- Microsoft 365 Apps (Office ; requis pour les règles Office et l’exemple)
- Télécharger les scripts PowerShell de réduction de la surface d’attaque
Commandes PowerShell
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
États de règle
| État | Mode | Valeur numérique |
|---|---|---|
| Désactivé | = Désactivé | 0 |
| Activé | = Mode bloc | 1 |
| Audit | = Mode d’audit | 2 |
Vérifier la configuration
Get-MpPreference
Fichiers de test
Remarque : certains fichiers de test ont plusieurs attaques incorporées et déclenchent plusieurs règles
| Nom de la règle | GUID de règle |
|---|---|
| Bloquer le contenu exécutable du client de messagerie et de la messagerie web | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Empêcher les applications Office de créer des processus enfants | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Empêcher les applications Office de créer du contenu exécutable | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Empêcher les applications Office de s’injecter dans d’autres processus | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Empêcher JavaScript et VBScript de lancer des exécutables | D3E037E1-3EB8-44C8-A917-57927947596D |
| Bloquer l’exécution de scripts potentiellement obfusqués | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Bloquer les importations Win32 à partir du code macro dans Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Bloquer les créations de processus provenant de PSExec & commandes WMI | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Bloquer l’exécution d’exécutables non approuvés ou non signés à l’intérieur d’un support USB amovible | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Prévention agressive contre les ransomwares | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence, d’âge ou de liste de confiance | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Empêcher Adobe Reader de créer des processus enfants | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Bloquer les abus de conducteurs vulnérables exploités signés | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Bloquer la persistance via un abonnement aux événements WMI | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Bloquer la création de webshell pour les serveurs | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Scénarios
Configuration
Téléchargez et exécutez ce script d’installation. Avant d’exécuter la stratégie d’exécution du jeu de scripts sur Non restreint à l’aide de cette commande PowerShell :
Set-ExecutionPolicy Unrestricted
Vous pouvez effectuer ces étapes manuelles à la place :
- Create un dossier sous c : named demo, « c :\demo »
- Enregistrez ce fichier propre dans c :\demo.
- Activez toutes les règles à l’aide de la commande PowerShell.
Scénario 1 : La réduction de la surface d’attaque bloque un fichier de test avec plusieurs vulnérabilités
- Activer toutes les règles en mode bloc à l’aide des commandes PowerShell (vous pouvez copier coller tout)
- Téléchargez et ouvrez l’un des fichiers/documents de test, puis activez la modification et le contenu, si vous y êtes invité.
Résultats attendus du scénario 1
Vous devez immédiatement voir une notification « Action bloquée ».
Scénario 2 : la règle ASR bloque le fichier de test avec la vulnérabilité correspondante
Configurez la règle que vous souhaitez tester à l’aide de la commande PowerShell de l’étape précédente.
Exemple :
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledTéléchargez et ouvrez le fichier/document de test pour la règle que vous souhaitez tester, puis activez la modification et le contenu, si vous y êtes invité.
Exemple : Empêcher les applications Office de créer des processus enfants D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Résultats attendus du scénario 2
Vous devez immédiatement voir une notification « Action bloquée ».
Scénario 3 (Windows 10 ou version ultérieure) : la règle ASR empêche l’exécution du contenu USB non signé
- Configurez la règle pour la protection USB (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Téléchargez le fichier et placez-le sur une clé USB et exécutez-le Bloquer l’exécution d’exécutables non approuvés ou non signés à l’intérieur d’un support USB amovible
Résultats attendus du scénario 3
Vous devez immédiatement voir une notification « Action bloquée ».
Scénario 4 : Que se passerait-il sans réduction de la surface d’attaque
Désactivez toutes les règles de réduction de la surface d’attaque à l’aide des commandes PowerShell dans la section nettoyage.
Téléchargez n’importe quel fichier/document de test et activez la modification et le contenu, si vous y êtes invité.
Résultats attendus du scénario 4
- Les fichiers dans c :\demo sont chiffrés et vous devez recevoir un message d’avertissement
- Réexécuter le fichier de test pour déchiffrer les fichiers
Nettoyer
Télécharger et exécuter ce script de propre
Vous pouvez également effectuer ces étapes manuelles :
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Nettoyer le chiffrement c :\demo en exécutant le fichier chiffre/déchiffrement
Voir aussi
Guide de déploiement des règles de réduction de la surface d’attaque
Informations de référence sur les règles de réduction de la surface d’attaque
Microsoft Defender pour point de terminaison - scénarios de démonstration
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour