Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
La falsification est le terme général utilisé pour décrire les tentatives d’attaquants visant à nuire à l’efficacité de Microsoft Defender pour point de terminaison. L’objectif ultime des attaquants n’est pas d’affecter un seul appareil, mais plutôt d’atteindre leur objectif, tel que le lancement d’une attaque par rançongiciel. Par conséquent, les fonctionnalités anti-falsification de Microsoft Defender pour point de terminaison vont au-delà de la prévention de la falsification d’un seul appareil à la détection des attaques et à la réduction de leur impact.
La résilience de falsification à l’échelle de l’organisation repose sur Confiance nulle
La base de la défense contre la falsification est de suivre un modèle Confiance nulle.
- Suivez la bonne pratique du privilège minimum. Consultez Vue d’ensemble du contrôle d’accès pour Windows.
- Configurez des stratégies d’accès conditionnel pour isoler les utilisateurs et les appareils non approuvés.
Afin de fournir une défense efficace contre la falsification, les appareils doivent être sains.
- Intégrer des appareils à Defender pour point de terminaison.
- Vérifiez que les informations de sécurité et les mises à jour antivirus sont installées.
- Appareils gérés de manière centralisée, par exemple par Microsoft Intune, Microsoft Defender pour point de terminaison Gestion de la configuration de la sécurité ou Configuration Manager.
Remarque
Sur les appareils Windows, Microsoft Defender Antivirus peut être géré à l’aide de stratégie de groupe, WMI (Windows Management Instrumentation) et des applets de commande PowerShell. Toutefois, ces méthodes sont plus susceptibles d’être falsifiées qu’en utilisant Microsoft Intune, Configuration Manager ou Microsoft Defender pour point de terminaison Security Configuration Management. Si vous utilisez stratégie de groupe, nous vous recommandons de désactiver les remplacements locaux pour les paramètres antivirus Microsoft Defender et de désactiver la fusion de listes locales.
Vous pouvez afficher les status d’intégrité pour Microsoft Defender’intégrité de l’antivirus et les capteurs dans les rapports d’intégrité de l’appareil dans Microsoft Defender pour point de terminaison.
Prévention de la falsification sur un seul appareil
Les attaquants utilisent différentes techniques de falsification pour désactiver Microsoft Defender pour point de terminaison sur un seul appareil. Ces techniques sont évitées différemment sur différents systèmes d’exploitation.
| Contrôle | Système d’exploitation | Familles de techniques |
|---|---|---|
| Protection contre les falsifications | Windows | - Arrêt/suspension des processus - Arrêt/suspension/suspension des services - Modification des paramètres du Registre, y compris les exclusions - Manipulation/détournement de DLL - Manipulation/modification du système de fichiers - Intégrité de l’agent |
| Protection contre les falsifications | Mac | - Arrêt/suspension des processus - Manipulation/modification du système de fichiers - Intégrité de l’agent |
| Règles de réduction de la surface d’attaque | Windows | Pilotes du noyau (voir Bloquer l’abus de pilotes signés vulnérables exploités) |
| Windows Defender Application Control (WDAC) | Windows | Pilotes du noyau (consultez la liste des pilotes microsoft vulnérables) |
Comprendre les différentes façons d’empêcher la falsification basée sur le pilote sur Windows
L’une des techniques de falsification les plus courantes consiste à utiliser un pilote vulnérable pour accéder au noyau. Ce pilote est souvent inclus dans un outil facile à déployer, mais la technique sous-jacente est la même.
Pour empêcher une falsification basée sur un pilote sur un seul appareil, l’appareil doit être configuré pour bloquer le chargement de ce pilote avant l’attaque.
Microsoft propose plusieurs façons de maintenir les appareils bien protégés et à jour contre la falsification basée sur le pilote.
Protection la plus étendue - Liste de blocage des pilotes vulnérables Microsoft
La liste de blocages est mise à jour avec chaque nouvelle version majeure de Windows, généralement 1 à 2 fois par an. Microsoft publiera occasionnellement les futures mises à jour par le biais d’une maintenance Régulière de Windows. Avec Windows 11 mise à jour 2022, la liste de blocage des pilotes vulnérables est activée par défaut pour tous les appareils, mais nécessite l’intégrité de la mémoire (également appelée intégrité du code protégé par l’hyperviseur ou HVCI), le contrôle d’application intelligente ou le mode S pour être actif.
Consultez la liste de blocage des pilotes vulnérables Microsoft.
Pour les appareils qui ne répondent pas à ces exigences, cette liste de pilotes peut être bloquée à l’aide de la stratégie Windows Defender Application Control.
Consultez Code XML de liste de blocage des pilotes vulnérables.
Mises à jour plus rapides - Bloquer les pilotes vulnérables et signés règle ASR
Cette liste de pilotes bloqués par les pilotes exploités et vulnérables est mise à jour plus fréquemment que la liste de blocage des pilotes recommandée. Les règles ASR peuvent d’abord s’exécuter en mode audit pour s’assurer qu’il n’y a aucun impact avant d’appliquer la règle en mode bloc.
Consultez La règle Bloquer l’abus de conducteurs vulnérables exploités.
Bloquer d’autres pilotes - Windows Defender Application Control (WDAC)
Les attaquants peuvent tenter d’utiliser des pilotes qui ne sont pas bloqués par la liste de blocages de pilotes recommandée ou par une règle ASR. Dans ce cas, les clients peuvent se protéger en utilisant WDAC pour créer une stratégie à bloquer
WDAC fournit également un mode d’audit pour vous aider à comprendre l’impact de l’application de la stratégie en mode bloc afin d’éviter d’avoir un impact accidentel sur l’utilisation légitime.
Prévention de la falsification via des exclusions d’antivirus Microsoft Defender sur Windows
Une technique courante utilisée par les attaquants consiste à apporter des modifications non autorisées aux exclusions antivirus. La protection contre les falsifications empêche ces attaques de se produire lorsque toutes les conditions suivantes sont remplies :
- L’appareil est géré par Intune ; et
- L’appareil a activé l’option Désactiver la fusion Administration locale.
Pour plus d’informations, consultez Protection contre les falsifications pour les exclusions antivirus.
Les attaquants peuvent empêcher la découverte d’exclusions antivirus existantes en activant HideExclusionsFromLocalAdmin.
Détection d’une activité de falsification potentielle dans le portail Microsoft Defender
Quand une falsification est détectée, une alerte est déclenchée. Voici quelques-uns des titres d’alerte à falsifier :
- Tentative de contournement de la protection du client Microsoft Defender pour point de terminaison
- Tentative d’arrêt Microsoft Defender pour point de terminaison capteur
- Tentative de falsification de Microsoft Defender sur plusieurs appareils
- Tentative de désactivation de Microsoft Defender protection antivirus
- Contournement de la détection defender
- Tentative de falsification basée sur le pilote bloquée
- Options d’exécution de fichier image définies à des fins de falsification
- protection antivirus Microsoft Defender désactivée
- Microsoft Defender La falsification de l’antivirus
- Tentative de modification dans Microsoft Defender liste d’exclusion antivirus
- Mécanisme d’opérations de fichier en attente utilisé à des fins de falsification
- Falsification possible de l’interface d’analyse anti-programme malveillant (AMSI)
- Falsification à distance possible
- Falsification possible du capteur en mémoire
- Tentative potentielle de falsification de MDE via des pilotes
- Falsification des logiciels de sécurité
- Exclusion de l’antivirus Microsoft Defender suspect
- Contournement de la protection contre les falsifications
- Activité de falsification typique des attaques par ransomware
- Falsification de la communication du capteur Microsoft Defender pour point de terminaison
- Falsification des paramètres du capteur Microsoft Defender pour point de terminaison
- Falsification du capteur Microsoft Defender pour point de terminaison
Si la règle bloquer l’abus de la surface d’attaque des pilotes signés vulnérables est déclenchée, l’événement est visible dans le rapport ASR et dans la chasse avancée
Si Windows Defender Application Control (WDAC) est activé, l’activité de blocage et d’audit est visible dans Repérage avancé.