Activer vos règles de réduction de la surface d’attaque dans Microsoft Defender pour entreprises

Les surfaces d’attaque sont toutes les emplacements et les façons dont le réseau et les appareils de votre organization sont vulnérables aux attaques. Par exemple :

• Appareils non sécurisés.
• Accès illimité aux URL sur les appareils de l’entreprise.
• Exécution illimitée d’applications ou de scripts sur les appareils de l’entreprise.

Pour protéger votre réseau et vos appareils, Microsoft Defender pour entreprises comprend plusieurs fonctionnalités de réduction de la surface d’attaque, notamment des règles de réduction de la surface d’attaque (ASR). Cet article explique comment configurer vos règles de réduction de la surface d’attaque et décrit les fonctionnalités de réduction de la surface d’attaque.

règles ASR de protection Standard

De nombreuses règles de réduction de la surface d’attaque sont disponibles. Vous n’avez pas besoin de les configurer tous en même temps. Vous pouvez également configurer certaines règles en mode audit pour voir comment elles fonctionnent pour votre organization et les modifier ultérieurement pour qu’elles fonctionnent en mode bloc. Cela dit, nous vous recommandons d’activer les règles de protection standard suivantes dès que possible :

• Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows
• Bloquer les abus de conducteurs vulnérables exploités signés
• Bloquer la persistance via un abonnement aux événements WMI

Ces règles aident à protéger votre réseau et vos appareils, mais ne doivent pas perturber les utilisateurs. Utilisez Intune pour configurer vos règles de réduction de la surface d’attaque.

Configurer des règles ASR à l’aide de Intune

1. Dans le centre d’administration Microsoft Intune, accédez à Réduction de lasurface d’attaque desécurité> du point de terminaison.

2. Choisissez Créer une stratégie pour créer une stratégie.

   • Pour Plateforme, choisissez Windows 10, Windows 11 et Windows Server.
   • Pour Profil, sélectionnez Règles de réduction de la surface d’attaque, puis choisissez Créer.

3. Configurez votre stratégie comme suit :

   1. Spécifiez un nom et une description, puis choisissez Suivant.

   2. Pour au moins les trois règles suivantes, définissez chacune sur Bloquer :

      • Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows
      • Bloquer la persistance via un abonnement aux événements WMI
      • Bloquer les abus de conducteurs vulnérables exploités signés

      Sélectionnez Suivant.

   3. À l’étape Balises d’étendue , choisissez Suivant.

   4. À l’étape Affectations, choisissez les utilisateurs ou les appareils auxquels recevoir les règles, puis choisissez Suivant. (Nous vous recommandons de sélectionner Ajouter tous les appareils.)

   5. À l’étape Vérifier + créer , passez en revue les informations, puis choisissez Créer.

Conseil

Vous pouvez initialement configurer des règles en mode audit pour afficher les détections sans réellement bloquer les processus ou les fichiers. Pour plus d’informations sur les règles de réduction de la surface d’attaque, consultez Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque.

Afficher votre rapport de réduction de la surface d’attaque

Defender for Business inclut un rapport de réduction de la surface d’attaque qui montre comment les règles de réduction de la surface d’attaque fonctionnent pour vous.

1. Dans le portail Microsoft Defender, dans le volet de navigation, choisissez Rapports.

2. Sous Points de terminaison, choisissez Règles de réduction de la surface d’attaque. Le rapport s’ouvre et inclut trois onglets :

   • Détections, où vous pouvez afficher les détections qui se sont produites à la suite des règles de réduction de la surface d’attaque
   • Configuration, où vous pouvez afficher les données pour les règles de protection standard ou d’autres règles de réduction de la surface d’attaque
   • Ajouter des exclusions, où vous pouvez ajouter des éléments à exclure des règles de réduction de la surface d’attaque (utilisez les exclusions avec parcimonie ; chaque exclusion réduit votre niveau de protection de sécurité)

Pour en savoir plus sur les règles de réduction de la surface d’attaque, consultez les articles suivants :

• Vue d’ensemble des règles de réduction de la surface d’attaque
• Rapport sur les règles de réduction de la surface d’attaque
• Informations de référence sur les règles de réduction de la surface d’attaque
• Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque

Fonctionnalités de réduction de la surface d’attaque dans Defender for Business

Les règles de réduction de la surface d’attaque sont disponibles dans Defender for Business. Le tableau suivant récapitule les fonctionnalités de réduction de la surface d’attaque dans Defender for Business. Notez que d’autres fonctionnalités, telles que la protection nouvelle génération et le filtrage de contenu web, fonctionnent avec vos fonctionnalités de réduction de la surface d’attaque.

Fonctionnalité	Comment le configurer
Règles de réduction de la surface d’attaque Empêcher l’exécution d’actions spécifiques fréquemment associées à une activité malveillante sur les appareils Windows.	Activez vos règles de réduction de la surface d’attaque de protection standard (section de cet article).
Accès contrôlé aux dossiers Autoriser uniquement les applications approuvées à accéder aux dossiers protégés sur les appareils Windows. Considérez cette fonctionnalité comme une atténuation des rançongiciels.	Configurez la stratégie d’accès contrôlé aux dossiers dans Microsoft Defender pour entreprises.
Protection du réseau Empêcher les utilisateurs d’accéder à des domaines dangereux via des applications sur leurs appareils Windows et Mac. La protection réseau est également un composant clé du filtrage de contenu web.	Activé par défaut lorsque les appareils sont intégrés à Defender for Business et que des stratégies de protection nouvelle génération sont appliquées. Les stratégies par défaut sont configurées avec les paramètres de sécurité recommandés.
Protection web S’intègre aux navigateurs web et fonctionne avec la protection réseau pour vous protéger contre les menaces web et le contenu indésirable. La protection web inclut le filtrage de contenu web et les rapports sur les menaces web.	Configurez le filtrage de contenu web dans Microsoft Defender pour entreprises.
Protection par pare-feu Détermine le trafic réseau autorisé à circuler vers ou depuis les appareils de votre organization.	Activé par défaut lorsque les appareils sont intégrés à Defender for Business et que les stratégies de pare-feu dans Defender for Business sont appliquées.

Étapes suivantes

• Passez en revue les paramètres des fonctionnalités avancées et le portail Microsoft Defender.
• Utiliser votre tableau de bord de gestion des vulnérabilités
• Afficher et gérer les incidents
• Afficher les rapports