Forum aux questions (FAQ) sur la protection contre les falsifications

Les appareils doivent répondre à toutes les exigences suivantes :

• Les appareils doivent exécuter certaines versions de Windows ou macOS. (Voir Sur quels appareils la protection contre les falsifications peut-elle être activée ?)
• Les appareils doivent être intégrés à Microsoft Defender pour point de terminaison.
• Les appareils doivent utiliser la version 4.18.2010.7 de plateforme anti-programme malveillant (ou ultérieure) et la version 1.1.17600.5 du moteur anti-programme malveillant (ou version ultérieure). (Gérer les mises à jour de l’Antivirus Microsoft Defender et appliquer des bases de référence.)
• La protection fournie par le cloud doit être activée.

Pour gérer la protection contre les falsifications dans le portail Microsoft Defender (https://security.microsoft.com), vous devez disposer des autorisations appropriées attribuées via des rôles, tels que Administrateur de la sécurité. (Consultez Contrôle d’accès en fonction du rôle (RBAC) Microsoft Defender XDR.)

• Windows 11
• Multisession Windows 11 Entreprise
• Windows 10 OS 1709, 1803, 1809 ou version ultérieure avec Microsoft Defender pour point de terminaison.
• Windows 10 Entreprise à sessions multiples

Si vous utilisez Configuration Manager, version 2006, avec attachement de locataire, la protection contre les falsifications peut être étendue à Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 et Windows Server 2022. Consultez Attachement de locataire : créer et déployer une stratégie antivirus de sécurité de point de terminaison à partir du centre d’administration (préversion).

Non. Les offres antivirus non-Microsoft continuent de s’inscrire auprès de l’application Sécurité Windows.

Si un logiciel antivirus/anti-programme malveillant non-Microsoft est installé sur un appareil, lorsque cet appareil est intégré à Microsoft Defender pour point de terminaison, l’Antivirus Microsoft Defender s’exécute en mode passif par défaut. La protection contre les falsifications protège le service et ses fonctionnalités.

Si/quand un logiciel antivirus/anti-programme malveillant non-Microsoft est désinstallé, l’Antivirus Microsoft Defender passe automatiquement en mode actif. La protection contre les falsifications continue de protéger le service et ses fonctionnalités.

Nous vous recommandons d’utiliser Microsoft Intune pour gérer les paramètres de l’Antivirus Microsoft Defender pour votre organisation. Avec Intune, vous pouvez contrôler où la protection contre les falsifications est activée (ou désactivée) via des stratégies. Vous pouvez également protéger les exclusions de l’Antivirus Microsoft Defender. Consultez Protection contre les falsifications : exclusions de l’antivirus Microsoft Defender.

Vous pouvez également utiliser le portail Microsoft Defender ou Configuration Manager.

Si vous êtes un utilisateur à domicile, consultez Gérer la protection contre les falsifications sur un appareil individuel.

La protection contre les falsifications fait partie de la protection intégrée et doit être activée.

Oui. Pour protéger les exclusions de l’Antivirus Microsoft Defender sur les appareils, certaines conditions doivent être remplies. Par exemple, vous devez utiliser Intune uniquement ou Configuration Manager uniquement pour gérer les appareils, et vous devez activer l’option Sense. Consultez Protéger les exclusions de l’antivirus Microsoft Defender.

Si vous utilisez actuellement Intune pour configurer et gérer la protection contre les falsifications, vous devez continuer à utiliser Intune. Lorsque la protection contre les falsifications est activée et que vous utilisez une stratégie de groupe pour apporter des modifications aux paramètres de l’Antivirus Microsoft Defender, tous les paramètres protégés par la protection contre les falsifications sont ignorés.

• Si vous devez apporter des modifications à un appareil et que ces modifications sont bloquées par la protection contre les falsifications, vous pouvez utiliser le mode résolution des problèmes pour désactiver temporairement la protection contre les falsifications sur l’appareil. Une fois le mode de résolution des problèmes terminé, toutes les modifications apportées aux paramètres protégés contre la falsification sont rétablies à leur état configuré.
• Vous pouvez utiliser Intune ou Configuration Manager pour exclure les appareils de la protection contre les falsifications.
• Si vous gérez la protection contre les falsifications via Intune et que certaines autres conditions sont remplies, vous pouvez gérer les exclusions antivirus protégées contre les falsifications.

Si vous utilisez Intune pour configurer et gérer la protection contre les falsifications, vous n’avez pas nécessairement besoin d’appliquer la protection contre les falsifications à l’ensemble de votre organisation. Avec Intune, vous pouvez choisir d’appliquer la protection contre les falsifications à l’ensemble de votre organisation, ou vous pouvez sélectionner des appareils ou des groupes d’utilisateurs spécifiques pour recevoir la protection contre les falsifications. Vous pouvez également exclure des appareils spécifiques de la protection contre les falsifications.

Lorsque la protection contre les falsifications est activée, les paramètres de sécurité suivants sont protégés contre toute modification :

• La protection contre les virus et les menaces reste activée.
• La protection en temps réel reste activée.
• La surveillance du comportement reste activée.
• La protection antivirus, y compris IOfficeAntivirus (IOAV) reste activée.
• La protection cloud reste activée.
• Les mises à jour du renseignement de sécurité continuent de se produire.
• Des actions automatiques sont effectuées sur les menaces détectées.
• Les notifications sont visibles dans l’application Sécurité Windows sur les appareils Windows.
• Les fichiers archivés sont analysés.

Pour plus d’informations, consultez Que se passe-t-il lorsque la protection contre les falsifications est activée ?

Lorsque la protection contre les falsifications est activée dans le portail Microsoft Defender (https://security.microsoft.com), la protection contre les falsifications est activée à l’échelle du locataire. Toutefois, les stratégies définies dans Intune ou Configuration Manager peuvent remplacer les paramètres dans le portail Microsoft Defender. Par exemple, vous pouvez définir une stratégie dans Intune ou Configuration Manager qui exclut certains appareils de la protection contre les falsifications.

Utilisez Intune pour déployer DisableLocalAdminMerge.

Suivez les instructions fournies dans Gérer les exclusions d’antivirus protégés contre les falsifications.

Non. Lorsque la protection contre les falsifications pour les exclusions est activée, vous n’avez pas besoin de la désactiver pour appliquer de nouvelles exclusions.

Oui. À l’instar d’Intune, vous pouvez appliquer la protection contre les falsifications à l’ensemble de votre organisation ou à des utilisateurs et appareils spécifiques. Pour plus d’informations, consultez les ressources suivantes :

• Gérer la protection contre les falsifications à l’aide d’Intune
• Gérer la protection contre les falsifications à l’aide de l’attachement de locataire avec Configuration Manager, version 2006
• Blog de la communauté technique : Annonce de la protection contre les falsifications pour les clients Configuration Manager Tenant Attach

En général, la protection contre les falsifications permet de protéger les utilisateurs contre la possibilité de modifier les paramètres de sécurité directement sur les appareils. La protection contre les falsifications fait partie des fonctionnalités anti-falsification qui incluent des règles standard de réduction de la surface d’attaque de protection. Pour empêcher les programmes malveillants de s’exécuter dans le noyau, envisagez d’utiliser des règles de blocage de pilote avec Le contrôle d’application pour Windows.

Si un appareil est désactivé à partir de Microsoft Defender pour point de terminaison, la protection contre les falsifications est activée, qui est l’état par défaut pour les appareils non gérés.

Les alertes doivent être répertoriées dans le portail Microsoft Defender sous Alertes. Votre équipe des opérations de sécurité peut également utiliser des requêtes de repérage, comme l’exemple suivant :

AlertInfo|where Title == "Tamper Protection bypass"

Vous pouvez utiliser l’une des méthodes suivantes pour configurer la protection contre les falsifications :

• Le portail Microsoft Defender (activer ou désactiver la protection contre les falsifications, à l’échelle du locataire)
• Intune (activer ou désactiver la protection contre les falsifications et/ou configurer la protection contre les falsifications pour certains ou tous les utilisateurs)
• Configuration Manager (avec l’attachement de locataire, vous pouvez configurer la protection contre les falsifications pour certains ou tous les appareils à l’aide du profil d’expérience de sécurité Windows).
• Application Sécurité Windows (pour un appareil individuel utilisé à la maison ou dans les situations où une équipe de sécurité ne gère pas votre appareil)