Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
Les surfaces d’attaque sont tous les endroits où votre organisation est vulnérable aux cybermenaces et aux attaques. Réduire votre surface d’attaque signifie protéger les appareils et le réseau de votre organisation, ce qui laisse aux attaquants moins de moyens d’attaque. La configuration des règles de réduction de la surface d’attaque de Microsoft Defender pour point de terminaison peut vous aider.
Les règles de réduction de la surface d’attaque ciblent certains comportements logiciels, tels que :
- Lancement de fichiers exécutables et de scripts qui tentent de télécharger ou d’exécuter des fichiers
- Exécution de scripts masqués ou suspects
- Comportements que les applications ne se produisent généralement pas pendant le travail quotidien normal
En réduisant les différentes surfaces d’attaque, vous pouvez empêcher les attaques de se produire en premier lieu.
Cette collection de déploiement fournit des informations sur les aspects suivants des règles de réduction de la surface d’attaque :
- exigences relatives aux règles de réduction de la surface d’attaque
- planifier le déploiement des règles de réduction de la surface d’attaque
- règles de réduction de la surface d’attaque de test
- configurer et activer des règles de réduction de la surface d’attaque
- bonnes pratiques relatives aux règles de réduction de la surface d’attaque
- règles de réduction de la surface d’attaque de chasse avancée
- observateur d’événements règles de réduction de la surface d’attaque
Étapes de déploiement des règles de réduction de la surface d’attaque
Comme pour toute nouvelle implémentation à grande échelle, susceptible d’avoir un impact sur vos opérations métier, il est important d’être méthodique dans votre planification et votre implémentation. Une planification et un déploiement minutieux des règles de réduction de la surface d’attaque sont nécessaires pour s’assurer qu’elles fonctionnent au mieux pour vos flux de travail clients uniques. Pour travailler dans votre environnement, vous devez planifier, tester, implémenter et opérationnaliser soigneusement les règles de réduction de la surface d’attaque.
Avertissement important pour le prédéploiement
Nous vous recommandons d’activer les trois règles de protection standard suivantes. Pour plus d’informations sur les deux types de règles de réduction de la surface d’attaque, consultez Règles de réduction de la surface d’attaque par type .
- Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe)
- Bloquer les abus de conducteurs vulnérables exploités signés
- Bloquer la persistance via l’abonnement aux événements WMI (Windows Management Instrumentation)
En règle générale, vous pouvez activer les règles de protection standard avec un impact minimal ou nul pour l’utilisateur final. Pour obtenir une méthode simple permettant d’activer les règles de protection standard, consultez Option de protection standard simplifiée.
Remarque
Pour les clients qui utilisent un HIPS non-Microsoft et qui passent aux règles de réduction de la surface d’attaque de Microsoft Defender pour point de terminaison, Microsoft conseille d’exécuter la solution HIPS parallèlement au déploiement des règles de réduction de la surface d’attaque jusqu’au moment où vous passez du mode Audit au mode Bloc. N’oubliez pas que vous devez contacter votre fournisseur d’antivirus non-Microsoft pour obtenir des recommandations d’exclusion.
Avant de commencer à tester ou à activer les règles de réduction de la surface d’attaque
Lors de votre préparation initiale, il est essentiel de comprendre les fonctionnalités des systèmes que vous mettez en place. La compréhension des fonctionnalités vous permet de déterminer quelles règles de réduction de la surface d’attaque sont les plus importantes pour protéger votre organisation. En outre, il existe plusieurs prérequis, que vous devez respecter pour préparer votre déploiement de réduction de la surface d’attaque.
Importante
Ce guide fournit des images et des exemples pour vous aider à décider comment configurer les règles de réduction de la surface d’attaque. ces images et exemples peuvent ne pas refléter les meilleures options de configuration pour votre environnement.
Avant de commencer, consultez Vue d’ensemble de la réduction de la surface d’attaque et Règles de réduction de la surface d’attaque de démystification - Partie 1 pour obtenir des informations de base. Pour comprendre les zones de couverture et l’impact potentiel, familiarisez-vous avec l’ensemble actuel de règles de réduction de la surface d’attaque ; consultez Informations de référence sur les règles de réduction de la surface d’attaque. Pendant que vous vous familiarisez avec l’ensemble des règles de réduction de la surface d’attaque, notez les mappages GUID par règle ; Consultez Règle de réduction de la surface d’attaque à la matrice GUID.
Les règles de réduction de la surface d’attaque ne sont qu’une des fonctionnalités de réduction de la surface d’attaque dans Microsoft Defender pour point de terminaison. Ce document décrit plus en détail le déploiement de règles de réduction de la surface d’attaque pour arrêter efficacement les menaces avancées telles que les rançongiciels gérés par l’homme et d’autres menaces.
Liste des règles de réduction de la surface d’attaque par catégorie
Le tableau suivant présente les règles de réduction de la surface d’attaque par catégorie :
| Menaces polymorphes | Mouvement latéral & vol d’informations d’identification | Règles des applications de productivité | Règles de messagerie | Règles de script | Règles d’erreur |
|---|---|---|---|---|---|
| Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence (1 000 machines), d’âge ou de liste de confiance | Bloquer les créations de processus provenant des commandes PSExec et WMI | Empêcher les applications Office de créer du contenu exécutable | Bloquer le contenu exécutable du client de messagerie et de la messagerie web | Bloquer le code JS/VBS/PS/macro obfusqué | Bloquer les abus de conducteurs vulnérables exploités [1] |
| Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB | Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe)[2] | Empêcher les applications Office de créer des processus enfants | Empêcher uniquement les applications de communication Office de créer des processus enfants | Empêcher JS/VBS de lancer le contenu exécutable téléchargé | |
| Utiliser une protection avancée contre les rançongiciels | Bloquer la persistance via un abonnement aux événements WMI | Empêcher les applications Office d’injecter du code dans d’autres processus | Empêcher les applications de communication Office de créer des processus enfants | ||
| Empêcher Adobe Reader de créer des processus enfants |
(1) L’utilisation abusive de blocs de pilotes signés vulnérables exploités est désormais disponible sousRéduction de la surface d’attaquede sécurité> du point de terminaison.
(2) Certaines règles de réduction de la surface d’attaque génèrent un bruit considérable, mais ne bloquent pas les fonctionnalités. Par exemple, si vous mettez à jour Chrome, Chrome accède lsass.exe; les mots de passe sont stockés dans lsass sur l’appareil. Toutefois, Chrome ne doit pas accéder à l’appareil local lsass.exe. Si vous activez la règle pour bloquer l’accès à lsass, vous voyez de nombreux événements. Ces événements sont de bons événements, car le processus de mise à jour logicielle ne doit pas accéder à lsass.exe. L’utilisation de cette règle empêche les mises à jour Chrome d’accéder à lsass, mais n’empêche pas Chrome de se mettre à jour. Cela vaut également pour les autres applications qui effectuent des appels inutiles à lsass.exe. La règle bloquer l’accès à lsass bloque les appels inutiles à lsass, mais ne bloque pas l’exécution de l’application.
Exigences de l’infrastructure de réduction de la surface d’attaque
Bien que plusieurs méthodes d’implémentation de règles de réduction de la surface d’attaque soient possibles, ce guide est basé sur une infrastructure composée de
- Identifiant Microsoft Entra
- Microsoft Intune
- Appareils Windows 10 et Windows 11
- Licences Microsoft Defender pour point de terminaison E5 ou Windows E5
Pour tirer pleinement parti des règles de réduction de la surface d’attaque et des rapports, nous vous recommandons d’utiliser une licence Microsoft Defender XDR E5 ou Windows E5 et A5. Pour plus d’informations, consultez Configuration minimale requise pour Microsoft Defender pour point de terminaison.
Remarque
Il existe plusieurs méthodes pour configurer des règles de réduction de la surface d’attaque. Les règles de réduction de la surface d’attaque peuvent être configurées à l’aide de : Microsoft Intune, PowerShell, stratégie de groupe, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. Si vous utilisez une configuration d’infrastructure différente de celle indiquée pour Configuration requise pour l’infrastructure, vous pouvez en savoir plus sur le déploiement de règles de réduction de la surface d’attaque à l’aide d’autres configurations ici : Activer les règles de réduction de la surface d’attaque.
Dépendances des règles de réduction de la surface d’attaque
Antivirus Microsoft Defender doit être activé et configuré en tant que solution antivirus principale, et doit être dans le mode suivant :
- Solution antivirus/anti-programme malveillant principale
- État : mode actif
Antivirus Microsoft Defender ne doit pas être dans l’un des modes suivants :
- Passif
- Mode passif avec détection et réponse de point de terminaison (EDR) en mode bloc
- Analyse périodique limitée (LPS)
- Désactivé
Pour plus d’informations, consultez Protection fournie par le cloud et Antivirus Microsoft Defender .
La protection cloud (MAPS) doit être activée pour activer les règles de réduction de la surface d’attaque
Antivirus Microsoft Defender fonctionne en toute transparence avec les services cloud Microsoft. Ces services de protection cloud, également appelés Microsoft Advanced Protection Service (MAPS), améliorent la protection en temps réel standard, offrant sans doute la meilleure défense antivirus. La protection cloud est essentielle pour empêcher les violations des programmes malveillants et un composant essentiel des règles de réduction de la surface d’attaque. Activez la protection fournie par le cloud dans Antivirus Microsoft Defender.
Les composants antivirus Microsoft Defender doivent être des versions actuelles pour les règles de réduction de la surface d’attaque
Les versions des composants antivirus Microsoft Defender suivantes ne doivent pas avoir plus de deux versions antérieures à la version la plus disponible :
- Version de mise à jour de la plateforme antivirus Microsoft Defender : la plateforme antivirus Microsoft Defender est mise à jour mensuellement.
- Version du moteur antivirus Microsoft Defender : le moteur de l’antivirus Microsoft Defender est mis à jour tous les mois.
- Intelligence de sécurité de l’Antivirus Microsoft Defender : Microsoft met continuellement à jour le renseignement de sécurité Microsoft Defender (également appelé définition et signature) pour répondre aux menaces les plus récentes et affiner la logique de détection.
La mise à jour des versions de l’Antivirus Microsoft Defender permet de réduire les résultats faux positifs des règles de réduction de la surface d’attaque et améliore les fonctionnalités de détection de l’Antivirus Microsoft Defender. Pour plus d’informations sur les versions actuelles et sur la façon de mettre à jour les différents composants de l’Antivirus Microsoft Defender, consultez Prise en charge de la plateforme antivirus Microsoft Defender.
Avertissement
Certaines règles ne fonctionnent pas correctement si les scripts et les applications développés en interne non signés sont en forte utilisation. Il est plus difficile de déployer des règles de réduction de la surface d’attaque si la signature du code n’est pas appliquée.
Autres articles de cette collection de déploiement
Règles de réduction de la surface d’attaque de test
Activer les règles de réduction de la surface d’attaque
Opérationnaliser les règles de réduction de la surface d’attaque
Informations de référence sur les règles de réduction de la surface d’attaque
Référence
Des blogs
Démystifier les règles de réduction de la surface d’attaque - Partie 1
Démystification des règles de réduction de la surface d’attaque - Partie 2
Démystification des règles de réduction de la surface d’attaque - Partie 3
Démystifier les règles de réduction de la surface d’attaque - Partie 4
Collecte des règles de réduction de la surface d’attaque
Vue d’ensemble de la réduction de la surface d'attaque
Activer les règles de réduction de la surface d’attaque - Autres configurations
Informations de référence sur les règles de réduction de la surface d’attaque
FAQ sur la réduction de la surface d’attaque
Microsoft Defender
Résoudre des faux négatifs/positifs dans Microsoft Defender pour point de terminaison
Protection par le cloud et antivirus Microsoft Defender
Activer la protection fournie par le cloud dans Antivirus Microsoft Defender
Configurer et valider des exclusions en fonction de l’extension, du nom ou de l’emplacement
prise en charge de la plateforme Antivirus Microsoft Defender
Vue d’ensemble de l’inventaire dans le Centre d’administration Microsoft 365 Apps
Créer un plan de déploiement pour Windows
Attribuer des profils d’appareil dans Microsoft Intune
Sites de gestion
Centre d’administration Microsoft Intune
Réduction de la surface d’attaque
Configurations des règles de réduction de la surface d’attaque
Exclusions des règles de réduction de la surface d’attaque
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.