Référence des règles de réduction de la surface d’attaque (ASR)

  • S’applique à: Microsoft Defender for Endpoint Plan 2

Les règles de réduction de la surface d’attaque (ASR) ciblent les comportements logiciels à risque sur les appareils Windows que les attaquants exploitent généralement par le biais de programmes malveillants (par exemple, le lancement de scripts qui téléchargent des fichiers, l’exécution de scripts obfusqués et l’injection de code dans d’autres processus). Pour plus d’informations sur les règles ASR, consultez Vue d’ensemble des règles de réduction de la surface d’attaque (ASR).

Cet article est une référence technique pour les règles ASR qui fournit les informations suivantes :

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Prise en charge du système d’exploitation pour les règles ASR

Les règles ASR sont une fonctionnalité antivirus Microsoft Defender disponible sur n’importe quelle édition de Windows qui inclut Microsoft Defender Antivirus (par exemple, Windows 11 Famille). Vous pouvez configurer des règles ASR localement à l’aide de PowerShell ou de stratégie de groupe.

Le tableau suivant décrit la prise en charge du système d’exploitation pour les règles ASR dans Microsoft Defender pour point de terminaison, qui fournit une gestion centralisée, des rapports et des alertes via Microsoft Intune, Microsoft Configuration Manager et le Microsoft Defender portail :

Nom de la règle Windows 11 ou version ultérieure Windows 10 Windows Server 2019 ou version ultérieure Windows Server 2016* Windows Server 2012 R2*
règles de protection Standard
Bloquer les abus de pilotes signés vulnérables exploités (appareil) O 1709 ou version ultérieure O Windows Server 1803 (SAC) ou version ultérieure O
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows O 1803 ou version ultérieure v v v
Bloquer la persistance via un abonnement aux événements WMI O 1903 ou version ultérieure Windows Server 1903 (SAC) ou version ultérieure N N
Autres règles ASR
Empêcher Adobe Reader de créer des processus enfants O 1809 ou version ultérieure v v v
Empêcher toutes les applications Office de créer des processus enfants O 1709 ou version ultérieure v v v
Bloquer le contenu exécutable du client de messagerie et de la messagerie web O 1709 ou version ultérieure v v v
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance O 1803 ou version ultérieure v v v
Bloquer l’exécution de scripts potentiellement obfusqués O 1709 ou version ultérieure v v v
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé O 1709 ou version ultérieure v N N
Empêcher les applications Office de créer du contenu exécutable O 1709 ou version ultérieure v v v
Empêcher les applications Office d’injecter du code dans d’autres processus O 1709 ou version ultérieure v v v
Empêcher l’application de communication Office de créer des processus enfants O 1709 ou version ultérieure v v v
Bloquer les créations de processus provenant des commandes PSExec et WMI O 1803 ou version ultérieure v v v
Bloquer le redémarrage de l’ordinateur en mode sans échec O 1709 ou version ultérieure v v v
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB O 1709 ou version ultérieure v v v
Bloquer l’utilisation des outils système copiés ou usurpés d’identité O 1709 ou version ultérieure v v v
Bloquer la création de webshell pour les serveurs s/o s/o Serveurs Exchange uniquement Serveurs Exchange uniquement N
Bloquer les appels d’API Win32 à partir de macros Office O 1709 ou version ultérieure s/o s/o s/o
Utiliser une protection avancée contre les rançongiciels O 1803 ou version ultérieure v v v

*Les règles ASR prises en charge dans Windows Server 2016 et Windows Server 2012 R2 nécessitent l’intégration à l’aide du package de solution unifiée moderne. Pour plus d’informations, consultez Nouvelles fonctionnalités Windows Server 2012 R2 et 2016 dans la solution unifiée moderne.

Prise en charge des méthodes de déploiement pour les règles ASR

Bien que Defender pour point de terminaison prenne en charge les règles ASR, vous avez besoin d’un service distinct pour déployer les règles sur les appareils. Les méthodes prises en charge pour le déploiement de règles ASR sont décrites dans le tableau suivant.

Nom de la règle Intune Configuration Manager FOURNISSEUR DE SERVICES DE GESTION DES APPAREILS MOBILES Stratégie de groupe centralisée
règles de protection Standard
Bloquer les abus de pilotes signés vulnérables exploités (appareil) v N v v
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows O 1802 ou version ultérieure v v
Bloquer la persistance via un abonnement aux événements WMI v N v v
Autres règles ASR
Empêcher Adobe Reader de créer des processus enfants v N v v
Empêcher toutes les applications Office de créer des processus enfants O 1710 ou version ultérieure v v
Bloquer le contenu exécutable du client de messagerie et de la messagerie web O 1710 ou version ultérieure v v
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste approuvée[1] O 1802 ou version ultérieure v v
Bloquer l’exécution de scripts potentiellement obfusqués O 1710 ou version ultérieure v v
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé O 1710 ou version ultérieure v v
Empêcher les applications Office de créer du contenu exécutable O 1710 ou version ultérieure v v
Empêcher les applications Office d’injecter du code dans d’autres processus O 1710 ou version ultérieure v v
Empêcher l’application de communication Office de créer des processus enfants v N v v
Bloquer les créations de processus provenant des commandes PSExec et WMI v N v v
Bloquer le redémarrage de l’ordinateur en mode sans échec v N v v
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB O 1802 ou version ultérieure v v
Bloquer l’utilisation des outils système copiés ou usurpés d’identité v N v v
Bloquer la création de webshell pour les serveurs v N v v
Bloquer les appels d’API Win32 à partir de macros Office O 1710 ou version ultérieure v v
Utiliser une protection avancée contre les rançongiciels O 1802 ou version ultérieure v v

Conseil

Vous pouvez également configurer des règles ASR localement sur des appareils individuels à l’aide de stratégie de groupe ou de PowerShell. Toutes les règles ASR sont prises en charge par les deux méthodes sur les appareils locaux.

1 Actuellement, cette règle ASR peut ne pas être disponible dans la configuration de la stratégie ASR Intune en raison d’un problème de back-end connu. Toutefois, la règle est disponible via les autres méthodes de configuration de stratégie ASR disponibles ou dans les stratégies ASR Intune existantes créées avant le problème.

Alertes et notifications des actions de règle ASR

Le tableau suivant décrit les alertes organization et locales que les règles ASR actives peuvent générer.

  • La valeur des alertes EDR indique si la règle ASR en mode Bloquer ou Avertir génère des alertes de détection et de réponse de point de terminaison (EDR) dans Defender pour point de terminaison.
  • La valeur Notifications utilisateur indique si la règle ASR prend en charge les fenêtres contextuelles de notification utilisateur en mode Bloquer ou Avertir (si la règle prend en charge le mode Avertissement ).
Nom de la règle Alertes EDR Utilisateur
notifications
règles de protection Standard
Bloquer les abus de pilotes signés vulnérables exploités (appareil) N v
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows[¹] N N
Bloquer la persistance via un abonnement aux événements WMI v v
Autres règles ASR
Empêcher Adobe Reader de créer des processus enfants[²] v v
Empêcher toutes les applications Office de créer des processus enfants N v
Bloquer le contenu exécutable du client de messagerie et du webmail[²] v v
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance N v
Bloquer l’exécution de scripts potentiellement obfusqués v v
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé[²] v v
Empêcher les applications Office de créer du contenu exécutable N v
Empêcher les applications Office d’injecter du code dans d’autres processus[¹] N v
Empêcher l’application de communication Office de créer des processus enfants N v
Bloquer les créations de processus provenant des commandes PSExec et WMI N v
Bloquer le redémarrage de l’ordinateur en mode sans échec N N
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB v v
Bloquer l’utilisation des outils système copiés ou usurpés d’identité N v
Bloquer la création de webshell pour les serveurs N N
Bloquer les appels d’API Win32 à partir de macros Office v N
Utiliser une protection avancée contre les rançongiciels v v

¹ Cette règle ASR ne prend pas en charge le mode d’avertissement .

² Cette règle ASR en mode Bloquer ou Avertir présente les exigences supplémentaires suivantes dans le niveau de protection cloud dans Microsoft Defender Antivirus :

  • Les alertes EDR sont générées uniquement lorsque le niveau de protection cloud sur l’appareil est élevé plus ou tolérance zéro.
  • Les fenêtres contextuelles de notification utilisateur sont générées uniquement lorsque le niveau de protection cloud sur l’appareil est élevé, élevé plus ou tolérance zéro.

Détails de la règle ASR

règles de protection Standard

Bloquer les abus de pilotes signés vulnérables exploités (appareil)

Les applications locales disposant de privilèges suffisants peuvent exploiter les pilotes signés vulnérables pour accéder au noyau du système d’exploitation. Les pilotes signés vulnérables permettent aux attaquants de désactiver ou de contourner les solutions de sécurité, ce qui aboutit à la compromission du système.

Cette règle ASR empêche les applications d’enregistrer des pilotes signés vulnérables sur l’ordinateur. Cela n’empêche pas le chargement de pilotes existants déjà sur l’ordinateur.

  • nom de Microsoft Intune :Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager nom : n/a
  • GUID : 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Type d’action de chasse avancée :
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Dépendances : Aucune

Remarque

Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows

Remarque

Si vous avez activé la protection de l’autorité de sécurité locale (LSA) (recommandée, avec Credential Guard) :

  • Cette règle ASR n’est pas obligatoire.
  • Cette règle ASR ne fournit pas de protection supplémentaire (la règle ASR et la protection LSA fonctionnent de la même façon).
  • Cette règle ASR est classée comme non applicable dans les paramètres de gestion de Defender pour point de terminaison du portail Microsoft Defender.

Cette règle ASR permet d’empêcher le vol d’informations d’identification en verrouillant le service LSASS (Local Security Authority Subsystem Service). LSASS authentifie les utilisateurs qui se connectent sur des ordinateurs Windows. En règle générale, Credential Guard dans Windows empêche les tentatives d’extraction d’informations d’identification de LSASS.

De nombreux processus effectuent des appels inutiles à LSASS pour obtenir des droits d’accès qui ne sont pas nécessaires. Cette activité génère un bruit de règle ASR considérable, mais ne bloque pas les fonctionnalités. Par exemple, les mises à jour Google Chrome accèdent inutilement à LSASS, car les mots de passe sont stockés dans LSASS sur l’appareil. L’activation de cette règle ASR sur l’appareil empêche les mises à jour Chrome d’accéder à LSASS, mais n’empêche pas Chrome de se mettre à jour. Ces événements de règle ASR sont bons, car le processus de mise à jour logicielle Chrome ne doit pas accéder à LSASS.

Pour plus d’informations sur les types de droits généralement demandés dans les appels de processus à LSASS, consultez Traiter les droits de sécurité et d’accès.

Certaines organisations ne peuvent pas activer Credential Guard en raison de problèmes de compatibilité avec les pilotes de carte à puce personnalisés ou d’autres programmes qui se chargent dans la LSA. Dans ce cas, les attaquants peuvent utiliser des outils tels que Mimikatz pour récupérer des mots de passe en texte clair et des hachages NTLM à partir de LSASS.

Si vous ne pouvez pas activer la protection LSA et/ou Credential Guard, vous pouvez configurer cette règle pour fournir une protection équivalente contre les programmes malveillants qui ciblent lsass.exe.

  • nom de Microsoft Intune :Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager nom :Block credential stealing from the Windows local security authority subsystem
  • GUID : 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Type d’action de chasse avancée :
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Dépendances : antivirus Microsoft Defender

Remarque

  • Cette règle ASR ne prend pas en charge le mode d’avertissement .
  • Cette règle ASR produit un grand volume d’événements d’audit, qui peuvent presque tous être ignorés quand la règle est activée en mode Bloc . Vous pouvez choisir d’ignorer l’évaluation du mode audit et de passer au déploiement en mode bloc. Microsoft recommande de commencer avec un petit ensemble d’appareils et d’étendre progressivement pour couvrir le reste.
  • Cette règle ASR supprime les alertes et les fenêtres contextuelles de notification utilisateur pour les processus conviviaux et les actions de blocage en double.
  • Cette règle ASR bloque l’accès à la mémoire de processus LSASS. Cela n’empêche pas les processus de s’exécuter. Lorsque cette règle ASR bloque des processus tels que svchost.exe, cela signifie que le processus ne peut pas accéder à la mémoire du processus LSASS. Vous pouvez souvent ignorer en toute sécurité le blocage de ces processus par cette règle ASR.
  • Certaines applications énumèrent tous les processus en cours d’exécution et tentent de les ouvrir avec des autorisations exhaustives. Cette règle ASR refuse les actions de processus ouvert de l’application et enregistre les détails dans le journal de sécurité dans Windows observateur d'événements. Cette règle peut générer de nombreux bruits. Si vous avez une application qui énumère simplement LSASS, mais n’a aucun effet réel sur les fonctionnalités, il n’est pas nécessaire de l’ajouter à la liste d’exclusions. En soi, cette entrée du journal des événements n’indique pas nécessairement une menace malveillante.
  • Cette règle ASR présente des problèmes avec quest Dirsync Password Sync. Pour plus d’informations, consultez Synchronisation de mot de passe Dirsync ne fonctionne pas quand Windows Defender est installé, erreur : « Échec de VirtualAllocEx : 5 » (4253914) .
  • Cette règle offre une prise en charge limitée de l’exclusion. Pour plus d’informations, consultez Exclusions de fichiers et de dossiers pour les règles ASR.

Bloquer la persistance via un abonnement aux événements WMI

Cette règle ASR empêche les programmes malveillants d’abuser de WMI pour obtenir la persistance sur les appareils.

Les menaces sans fichier utilisent diverses tactiques pour rester masqué, pour éviter d’être visibles dans le système de fichiers et pour obtenir un contrôle périodique. Certaines menaces peuvent utiliser à mauvais escient le dépôt WMI et le modèle d’événement pour rester cachées.

  • nom de Microsoft Intune :Block persistence through WMI event subscription
  • Microsoft Configuration Manager nom : n/a
  • GUID : e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Type d’action de chasse avancée :
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Dépendances : antivirus Microsoft Defender, RPC

Remarque

  • Cette règle n’est pas prise en charge lorsqu’elle est déployée via Microsoft Intune pour Windows Server 2012 R2 ou Windows Server 2016 à l’aide de la solution unifiée moderne.
  • Si vous utilisez Microsoft Configuration Manager, Microsoft recommande un test approfondi de cette règle ASR en mode Audit avant de passer au mode Bloquer. Le client Configuration Manager s’appuie fortement sur WMI.
  • Cette règle offre une prise en charge limitée de l’exclusion. Pour plus d’informations, consultez Exclusions de fichiers et de dossiers pour les règles ASR.

Autres règles ASR

Empêcher Adobe Reader de créer des processus enfants

Cette règle ASR empêche les attaques en empêchant Adobe Reader de créer des processus.

Les programmes malveillants peuvent télécharger et lancer des charges utiles et sortir d’Adobe Reader par le biais d’une ingénierie sociale ou d’exploits. En empêchant Adobe Reader de générer des processus enfants, les programmes malveillants qui tentent d’utiliser Adobe Reader comme vecteur d’attaque sont empêchés de se propager.

  • nom de Microsoft Intune :Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager nom : n/a
  • GUID : 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Type d’action de chasse avancée :
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Dépendances : antivirus Microsoft Defender

Remarque

  • Cette règle offre une prise en charge limitée de l’exclusion. Pour plus d’informations, consultez Exclusions de fichiers et de dossiers pour les règles ASR.
  • Cette règle ASR en mode Bloquer ou Avertir a des exigences supplémentaires dans le niveau de protection cloud dans Microsoft Defender Antivirus :
    • Les alertes EDR sont générées uniquement lorsque le niveau de protection cloud sur l’appareil est élevé plus ou tolérance zéro.
    • Les fenêtres contextuelles de notification utilisateur sont générées uniquement lorsque le niveau de protection cloud sur l’appareil est élevé, élevé plus ou tolérance zéro.

Empêcher toutes les applications Office de créer des processus enfants

Cette règle empêche les applications Office de créer des processus enfants. Les applications Office incluent Word, Excel, PowerPoint, OneNote et Access.

La création de processus enfants malveillants est une stratégie de programme malveillant courante. Les programmes malveillants qui abusent d’Office en tant que vecteur exécutent souvent des macros VBA et exploitent du code pour télécharger et tenter d’exécuter davantage de charges utiles. Toutefois, certaines applications métier légitimes peuvent également générer des processus enfants à des fins bénignes. Par exemple, la génération d’une invite de commandes ou l’utilisation de PowerShell pour configurer les paramètres du Registre.

  • nom de Microsoft Intune :Block all Office applications from creating child processes
  • Microsoft Configuration Manager nom :Block Office application from creating child processes
  • GUID : d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Type d’action de chasse avancée :
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Dépendances : antivirus Microsoft Defender

Remarque

Cette règle n’est appliquée que si Office est installé dans les %ProgramFiles% emplacements ou %ProgramFiles(x86)% (par défaut, C:\Program Files et C:\Program Files (x86)).

Bloquer le contenu exécutable du client de messagerie et de la messagerie web

Cette règle empêche les e-mails ouverts avec Microsoft Outlook, Outlook.com et d’autres fournisseurs de messagerie web populaires de propager les types de fichiers suivants :

  • Fichiers exécutables (par exemple, .exe, .dll ou .scr).

  • Fichiers de script (par exemple, .ps1, .vbs ou .js).

  • Archive fichiers (par exemple, .zip).

  • nom de Microsoft Intune :Block executable content from email client and webmail

  • Microsoft Configuration Manager nom :Block executable content from email client and webmail

  • GUID : be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Type d’action de chasse avancée :

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Dépendances : antivirus Microsoft Defender

Remarque

  • Cette règle ASR en mode Bloquer ou Avertir a des exigences supplémentaires dans le niveau de protection cloud dans Microsoft Defender Antivirus :
    • Les alertes EDR sont générées uniquement lorsque le niveau de protection cloud sur l’appareil est élevé plus ou tolérance zéro.
    • Les fenêtres contextuelles de notification utilisateur sont générées uniquement lorsque le niveau de protection cloud sur l’appareil est élevé, élevé plus ou tolérance zéro.
  • Cette règle ASR contient les descriptions alternatives suivantes :
    • Intune (profils de configuration) :Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Configuration Manager :Block executable content download from email and webmail clients
    • stratégie de groupe :Block executable content from email client and webmail

Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance

Conseil

Actuellement, cette règle ASR n’est peut-être pas disponible dans la configuration de la stratégie ASR Intune en raison d’un problème de back-end connu. Toutefois, la règle est disponible via les autres méthodes de configuration de stratégie ASR disponibles ou dans les stratégies ASR Intune existantes créées avant le problème.

Cette règle ASR bloque le lancement des fichiers exécutables (par exemple, .exe, .dll ou .scr). Le lancement de fichiers exécutables non approuvés ou inconnus peut être risqué, car il n’est pas initialement clair si les fichiers sont malveillants.

  • nom de Microsoft Intune :Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager nom :Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID : 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Type d’action de chasse avancée :
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Dépendances : antivirus Microsoft Defender, protection cloud

Remarque

Bloquer l’exécution de scripts potentiellement obfusqués

Cette règle ASR détecte les propriétés suspectes dans un script obfusqué.

L’obfuscation de script est une technique courante que les auteurs de programmes malveillants et les applications légitimes utilisent pour masquer la propriété intellectuelle ou réduire les temps de chargement des scripts. Les auteurs de programmes malveillants utilisent également l’obfuscation pour rendre le code malveillant plus difficile à lire, ce qui empêche l’examen de près par les humains et les logiciels de sécurité.

  • nom de Microsoft Intune :Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager nom :Block execution of potentially obfuscated scripts
  • GUID : 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Type d’action de chasse avancée :
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Dépendances : antivirus Microsoft Defender, interface d’analyse des logiciels anti-programme malveillant (AMSI), Protection cloud

Remarque

Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé

Cette règle ASR empêche les scripts de lancer du contenu téléchargé potentiellement malveillant. Les programmes malveillants écrits en JavaScript ou VBScript agissent souvent comme un téléchargeur pour extraire et lancer d’autres programmes malveillants à partir d’Internet. Bien qu’elles ne soient pas courantes, les applications métier utilisent parfois des scripts pour télécharger et lancer des programmes d’installation.

  • nom de Microsoft Intune :Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager nom :Block JavaScript or VBScript from launching downloaded executable content
  • GUID : d3e037e1-3eb8-44c8-a917-57927947596d
  • Type d’action de chasse avancée :
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Dépendances : antivirus Microsoft Defender, interface d’analyse anti-programme malveillant (AMSI)

Remarque

  • Cette règle n’est pas prise en charge lorsqu’elle est déployée via Microsoft Intune pour Windows Server 2012 R2 ou Windows Server 2016 à l’aide de la solution unifiée moderne.

  • Cette règle ASR en mode Bloquer ou Avertir a des exigences supplémentaires dans le niveau de protection cloud dans Microsoft Defender Antivirus :

    • Les alertes EDR sont générées uniquement lorsque le niveau de protection cloud sur l’appareil est élevé plus ou tolérance zéro.
    • Les fenêtres contextuelles de notification utilisateur sont générées uniquement lorsque le niveau de protection cloud sur l’appareil est élevé, élevé plus ou tolérance zéro.

Empêcher les applications Office de créer du contenu exécutable

Cette règle ASR empêche les applications Office (par exemple, Word, Excel et PowerPoint) d’être utilisées comme vecteur pour enregistrer des composants malveillants sur le disque. Ces composants malveillants peuvent survivre à un redémarrage de l’ordinateur et persister sur le système. Cette règle se défend contre cette technique de persistance en :

  • Blocage de l’accès (ouvrir/exécuter) au code écrit sur le disque.

  • Blocage de l’exécution des fichiers non approuvés enregistrés par les macros Office qui sont autorisées à s’exécuter dans des fichiers Office.

  • nom de Microsoft Intune :Block Office applications from creating executable content

  • Microsoft Configuration Manager nom :Block Office applications from creating executable content

  • GUID : 3b576869-a4ec-4529-8536-b80a7769e899

  • Type d’action de chasse avancée :

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Dépendances : antivirus Microsoft Defender, RPC

Remarque

Cette règle offre une prise en charge limitée de l’exclusion. Pour plus d’informations, consultez Exclusions de fichiers et de dossiers pour les règles ASR.

Cette règle ASR n’est pas affectée par l’emplacement d’installation d’Office.

Empêcher les applications Office d’injecter du code dans d’autres processus

Cette règle ASR bloque les tentatives d’injection de code des applications Office dans d’autres processus. Les attaquants peuvent tenter d’utiliser des applications Office pour migrer du code malveillant vers d’autres processus via l’injection de code, de sorte que le code peut se faire passer pour un processus propre. Il n’existe pas d’objectif commercial légitime connu pour l’utilisation de l’injection de code.

  • nom de Microsoft Intune :Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager nom :Block Office applications from injecting code into other processes
  • GUID : 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Type d’action de chasse avancée :
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Dépendances : antivirus Microsoft Defender

Remarque

  • Cette règle ASR ne prend pas en charge le mode d’avertissement .
  • Cette règle ASR s’applique à Word, Excel, OneNote et PowerPoint.
  • Cette règle ASR nécessite le redémarrage de Microsoft 365 Apps (applications Office) pour que les modifications de configuration prennent effet.
  • Cette règle offre une prise en charge limitée de l’exclusion. Pour plus d’informations, consultez Exclusions de fichiers et de dossiers pour les règles ASR.
  • Cette règle ASR n’est pas compatible avec les applications suivantes :
  • Cette règle ASR est appliquée uniquement si Office est installé dans les %ProgramFiles% emplacements ou %ProgramFiles(x86)% (par défaut, C:\Program Files et C:\Program Files (x86)).

Empêcher l’application de communication Office de créer des processus enfants

Cette règle ASR empêche Outlook de créer des processus enfants, tout en autorisant les fonctions Outlook légitimes. Cette règle ASR protège contre :

  • L’ingénierie sociale attaque et empêche l’exploitation du code d’abuser des vulnérabilités dans Outlook.

  • Règles et formulaires Outlook exploits que les attaquants peuvent utiliser quand les informations d’identification d’un utilisateur sont compromises.

  • nom de Microsoft Intune :Block Office communication application from creating child processes

  • Microsoft Configuration Manager nom : n/a

  • GUID : 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Type d’action de chasse avancée :

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Dépendances : antivirus Microsoft Defender

Remarque

Cette règle offre une prise en charge limitée de l’exclusion. Pour plus d’informations, consultez Exclusions de fichiers et de dossiers pour les règles ASR.

Cette règle n’est appliquée que si Office est installé dans les %ProgramFiles% emplacements ou %ProgramFiles(x86)% (par défaut, C:\Program Files et C:\Program Files (x86)).

Bloquer les créations de processus provenant des commandes PSExec et WMI

Importante

Si vous utilisez Microsoft Configuration Manager, n’utilisez pas d’autres méthodes de déploiement disponibles pour activer cette règle sur les appareils gérés. Le client Configuration Manager s’appuie fortement sur WMI.

Cette règle ASR bloque l’exécution des processus créés via PsExec et WMI . PsExec et WMI peuvent exécuter du code à distance. Les programmes malveillants peuvent utiliser PsExec et WMI pour la commande et le contrôle, ou pour propager des infections réseau.

  • nom de Microsoft Intune :Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager nom : n/a
  • GUID : d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Type d’action de chasse avancée :
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Dépendances : antivirus Microsoft Defender

Remarque

Cette règle offre une prise en charge limitée de l’exclusion. Pour plus d’informations, consultez Exclusions de fichiers et de dossiers pour les règles ASR.

Bloquer le redémarrage de l’ordinateur en mode sans échec

Cette règle ASR empêche les commandes couramment utilisées comme bcdedit et bootcfg de redémarrer les ordinateurs Windows en mode sans échec. En mode sans échec, de nombreux produits de sécurité sont désactivés ou exécutés avec des fonctionnalités limitées. Le mode sans échec permet aux attaquants de lancer des commandes de falsification ou d’exécuter et de chiffrer tous les fichiers sur l’ordinateur.

Le mode sans échec est toujours accessible manuellement à partir de l’environnement de récupération Windows.

  • nom de Microsoft Intune :Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager nom : n/a
  • GUID : 33ddedf1-c6e0-47cb-833e-de6133960387
  • Type d’action de chasse avancée :
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Dépendances : antivirus Microsoft Defender

Remarque

Actuellement, Gestion des vulnérabilités Microsoft Defender ne reconnaît pas cette règle. Le rapport Règles de réduction de la surface d’attaque (ASR) affiche cette règle comme Non applicable.

Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB

Cette règle ASR empêche les fichiers exécutables non signés ou non approuvés (par exemple, .exe, .dll ou .scr) de s’exécuter à partir de lecteurs usb amovibles, y compris les cartes SD.

Cette règle ASR n’empêche pas la copie des fichiers du lecteur USB sur le disque. Il empêche l’exécution des fichiers copiés à partir du disque.

  • nom de Microsoft Intune :Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager nom :Block untrusted and unsigned processes that run from USB
  • GUID : b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Type d’action de chasse avancée :
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Dépendances : antivirus Microsoft Defender

Bloquer l’utilisation des outils système copiés ou usurpés d’identité

Cette règle ASR bloque la propagation et l’utilisation des fichiers exécutables identifiés en tant que copies (doublons ou imposteurs) des outils système Windows. Certains programmes malveillants peuvent essayer de copier ou d’emprunter l’identité des outils système Windows pour éviter la détection ou obtenir des privilèges. L’autorisation de ces fichiers exécutables peut entraîner des attaques potentielles.

  • nom de Microsoft Intune :Block use of copied or impersonated system tools
  • Microsoft Configuration Manager nom : n/a
  • GUID : c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Type d’action de chasse avancée :
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Dépendances : antivirus Microsoft Defender

Remarque

Actuellement, Gestion des vulnérabilités Microsoft Defender ne reconnaît pas cette règle. Le rapport Règles de réduction de la surface d’attaque (ASR) affiche cette règle comme Non applicable.

Bloquer la création de webshell pour les serveurs

Cette règle ASR bloque la création de scripts d’interpréteur de commandes web sur les serveurs Windows exécutant Microsoft Exchange. Un script d’interpréteur de commandes web est un script conçu qui permet à un attaquant de contrôler le serveur compromis. Un script d’interpréteur de commandes web peut inclure les fonctionnalités suivantes :

  • Recevoir et exécuter des commandes malveillantes.

  • Téléchargez et exécutez des fichiers malveillants.

  • Voler et exfiltrer des informations d’identification et des informations sensibles.

  • Identifiez les cibles potentielles.

  • nom de Microsoft Intune :Block Webshell creation for Servers

  • Microsoft Configuration Manager nom : n/a

  • GUID : a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Type d’action de repérage avancé : n/a

  • Dépendances : antivirus Microsoft Defender

Remarque

  • Cette règle n’est pas prise en charge lorsqu’elle est déployée via Microsoft Intune pour Windows Server 2012 R2 ou Windows Server 2016 à l’aide de la solution unifiée moderne.
  • Si vous gérez des règles ASR dans Microsoft Defender pour point de terminaison, ne configurez pas cet ASR dans stratégie de groupe ou d’autres paramètres locaux (laissez la valeur sur Not Configured). Toute autre valeur (par exemple, Enabled ou Disabled) peut entraîner des conflits et empêcher l’application correcte de la règle.
  • Actuellement, Gestion des vulnérabilités Microsoft Defender ne reconnaît pas cette règle. Le rapport Règles de réduction de la surface d’attaque (ASR) affiche cette règle comme Non applicable.

Bloquer les appels d’API Win32 à partir de macros Office

Office Visual Basic pour Applications (VBA) active les appels d’API Win32. Cette règle ASR empêche les macros VBA d’appeler les API Win32. Les programmes malveillants peuvent abuser de cette fonctionnalité, comme appeler des API Win32 pour lancer un shellcode malveillant sans écrire quoi que ce soit directement sur le disque.

La plupart des organisations n’ont pas besoin d’appels d’API Win32 à partir de macros VBA, même si elles utilisent des macros d’une autre manière.

  • nom de Microsoft Intune :Block Win32 API calls from Office macros
  • Microsoft Configuration Manager nom :Block Win32 API calls from Office macros
  • GUID : 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Type d’action de chasse avancée :
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Dépendances : antivirus Microsoft Defender, interface d’analyse anti-programme malveillant (AMSI)

Utiliser une protection avancée contre les rançongiciels

Remarque

Cette règle ASR fournit une couche supplémentaire de protection contre les rançongiciels. Il utilise à la fois les heuristiques client et cloud pour déterminer si un fichier ressemble à un ransomware. Cette règle ne bloque pas les fichiers qui ont une ou plusieurs des caractéristiques suivantes :

  • Le fichier n’est pas partagé dans le cloud Microsoft.
  • Le fichier est un fichier signé valide.
  • Le fichier est suffisamment répandu pour ne pas être considéré comme un ransomware.

Cette règle ne bloque pas seulement les fichiers ayant une mauvaise réputation. Au lieu de cela, la règle se trompe du côté de la prudence et bloque également les fichiers qui n’ont pas encore une réputation positive. En règle générale, les blocages sur les fichiers inoffensifs et inconnus par cette règle finissent par se résoudre eux-mêmes. La réputation et les valeurs de confiance du fichier augmentent de façon incrémentielle à mesure que l’utilisation non problématique augmente.

Si les blocages sur les fichiers inoffensifs et inconnus ne sont pas résolus en temps voulu, vous pouvez configurer une exclusion de règle par ASR pour cette règle ou utiliser l’action Autoriser pour un indicateur de compromission (IoC).

  • nom de Microsoft Intune :Use advanced protection against ransomware
  • Microsoft Configuration Manager nom :Use advanced protection against ransomware
  • GUID : c1db55ab-c21a-4637-bb3f-a12568109d35
  • Type d’action de chasse avancée :
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Dépendances : antivirus Microsoft Defender, protection cloud

Contenu connexe

  • Last updated on