Partage via


Paramètres de stratégie de réduction de la surface d’attaque pour la sécurité des points de terminaison dans Intune

Affichez les paramètres que vous pouvez configurer dans les profils pour la stratégie de réduction de la surface d’attaque dans le nœud de sécurité des points de terminaison d’Intune dans le cadre d’une stratégie de sécurité de point de terminaison.

S’applique à :

  • Windows 11
  • Windows 10

Plateformes et profils pris en charge :

  • Windows 10 et versions ultérieures : utilisez cette plateforme pour la stratégie que vous déployez sur les appareils gérés avec Intune.

    • Profil : Isolation des applications et des navigateurs
    • Profil : Contrôle d’application
    • Profil : règles de réduction de la surface d’attaque
    • Profil : Contrôle d’appareil
    • Profil : Exploit Protection
    • Profil : Protection web (Microsoft Edge hérité)
  • Windows 10 et versions ultérieures (ConfigMgr) : utilisez cette plateforme pour la stratégie que vous déployez sur les appareils gérés par Configuration Manager.

    • Profil : Exploit Protection(ConfigMgr)(préversion)
    • Profil : Protection web (ConfigMgr)(préversion)
  • Windows 10, Windows 11 et Windows Server : utilisez cette plateforme pour la stratégie que vous déployez sur les appareils gérés via gestion de la sécurité pour Microsoft Defender pour point de terminaison.

    • Profil : Règles de réduction de la surface d’attaque

Réduction de la surface d’attaque (GPM)

Profil d’isolation de l’application et du navigateur

Remarque

Cette section détaille les paramètres des profils d’isolation des applications et des navigateurs créés avant le 18 avril 2023. Les profils créés après cette date utilisent un nouveau format de paramètres tel qu’il figure dans le catalogue de paramètres. Avec cette modification, vous ne pouvez plus créer de nouvelles versions de l’ancien profil et elles ne sont plus développées. Bien que vous ne puissiez plus créer de nouvelles instances de l’ancien profil, vous pouvez continuer à modifier et à utiliser les instances de celui-ci que vous avez créées précédemment.

Pour les profils qui utilisent le nouveau format de paramètres, Intune ne gère plus de liste de chaque paramètre par nom. Au lieu de cela, le nom de chaque paramètre, ses options de configuration et son texte explicatif que vous voyez dans le Centre d’administration Microsoft Intune sont pris directement à partir du contenu faisant autorité des paramètres. Ce contenu peut fournir plus d’informations sur l’utilisation du paramètre dans son contexte approprié. Lorsque vous affichez un texte d’informations de paramètres, vous pouvez utiliser son lien En savoir plus pour ouvrir ce contenu.

Isolation des applications et des navigateurs

  • Activer Application Guard
    CSP : AllowWindowsDefenderApplicationGuard

    • Non configuré (par défaut) : Microsoft Defender Application Guard n’est pas configuré pour Microsoft Edge ou les environnements Windows isolés.
    • Activé pour Edge : Application Guard ouvre les sites non approuvés dans un conteneur de navigation virtualisée Hyper-V.
    • Activé pour les environnements Windows isolés : Application Guard est activé pour toutes les applications activées pour App Guard dans Windows.
    • Activé pour les environnements Edge et Windows isolés : Application Guard est configuré pour les deux scénarios.

    Remarque

    Si vous déployez Application Guard pour Microsoft Edge via Intune, la stratégie d’isolation réseau Windows doit être configurée comme condition préalable. L’isolation réseau peut être configurée via différents profils, notamment l’isolation d’application et de broswer sous le paramètre d’isolation réseau Windows .

    Lorsqu’il est défini sur Activé pour Edge ou Activé pour les environnements Edge ET Windows isolés, les paramètres suivants sont disponibles, qui s’appliquent à Edge :

    • Comportement du Presse-papiers
      CSP : Presse-papiersSettings

      Choisissez les actions de copie et de collage autorisées à partir du PC local et d’un navigateur virtuel Application Guard.

      • Non configuré (par défaut)
      • Bloquer le copier-coller entre le PC et le navigateur
      • Autoriser le copier-coller du navigateur vers le PC uniquement
      • Autoriser le copier-coller du PC vers le navigateur uniquement
      • Autoriser le copier-coller entre le PC et le navigateur
    • Bloquer le contenu externe des sites non approuvés par l’entreprise
      CSP : BlockNonEnterpriseContent

      • Non configuré (par défaut)
      • Oui : empêcher le chargement du contenu des sites web non approuvés.
    • Collecter les journaux des événements qui se produisent dans une session de navigation Application Guard
      CSP : AuditApplicationGuard

      • Non configuré (par défaut)
      • Oui : collectez les journaux des événements qui se produisent dans une session de navigation virtuelle Application Guard.
    • Autoriser l’enregistrement des données de navigateur générées par l’utilisateur
      CSP : AllowPersistence

      • Non configuré (par défaut)
      • Oui : autoriser l’enregistrement des données utilisateur créées pendant une session de navigation virtuelle Application Guard. Les mots de passe, les favoris et les cookies sont des exemples de données utilisateur.
    • Activer l’accélération graphique matérielle
      CSP : AllowVirtualGPU

      • Non configuré (par défaut)
      • Oui : dans la session de navigation virtuelle Application Guard, utilisez une unité de traitement graphique virtuelle pour charger plus rapidement des sites web gourmands en graphismes.
    • Autoriser les utilisateurs à télécharger des fichiers sur l’hôte
      CSP : SaveFilesToHost

      • Non configuré (par défaut)
      • Oui : autoriser les utilisateurs à télécharger des fichiers à partir du navigateur virtualisé sur le système d’exploitation hôte.
    • Application Guard autorise l’accès de la caméra et du microphone
      CSP : AllowCameraMicrophoneRedirection

      • Non configuré (par défaut) : les applications de Microsoft Defender Application Guard ne peuvent pas accéder à la caméra et au microphone sur l’appareil de l’utilisateur.
      • Oui : les applications de Microsoft Defender Application Guard peuvent accéder à la caméra et au microphone sur l’appareil de l’utilisateur.
      • Non : les applications de Microsoft Defender Application Guard ne peuvent pas accéder à la caméra et au microphone sur l’appareil de l’utilisateur. Il s’agit du même comportement que Non configuré.
  • Application Guard autoriser l’impression sur les imprimantes locales

    • Non configuré (par défaut)
    • Oui : autoriser l’impression sur les imprimantes locales.
  • Application Guard autoriser l’impression sur les imprimantes réseau

    • Non configuré (par défaut)
    • Oui : autoriser l’impression sur les imprimantes réseau.
  • Application Guard autoriser l’impression au format PDF

    • Non configuré (par défaut)
    • Oui - Autoriser l’impression au format PDF.
  • Application Guard autoriser l’impression sur XPS

    • Non configuré (par défaut)
    • Oui - Autoriser l’impression sur XPS.
  • Application Guard autorise l’utilisation des autorités de certification racines à partir de l’appareil de l’utilisateur
    CSP : CertificateThumbprints

    Configurez les empreintes de certificat pour transférer automatiquement le certificat racine correspondant au conteneur Microsoft Defender Application Guard.

    Pour ajouter des empreintes une par une, sélectionnez Ajouter. Vous pouvez utiliser l’importation pour spécifier un fichier .CSV qui contient plusieurs entrées d’empreinte numérique ajoutées au profil en même temps. Lorsque vous utilisez un fichier .CSV, chaque empreinte doit être séparée par une virgule. Par exemple : b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Toutes les entrées répertoriées dans le profil sont actives. Vous n’avez pas besoin de cocher une case pour une entrée d’empreinte numérique pour la rendre active. Utilisez plutôt les cases à cocher pour vous aider à gérer les entrées qui ont été ajoutées au profil. Par exemple, vous pouvez cocher la case d’une ou plusieurs entrées d’empreinte de certificat, puis supprimer ces entrées du profil avec une seule action.

  • Stratégie d’isolement du réseau Windows

    • Non configuré (par défaut)
    • Oui : configurez la stratégie d’isolation réseau Windows.

    Lorsque la valeur est Oui, vous pouvez configurer les paramètres suivants :

    • Plages d’adresses IP
      Développez la liste déroulante, sélectionnez Ajouter, puis spécifiez une adresse inférieure , puis une adresse supérieure.

    • Ressources cloud
      Développez la liste déroulante, sélectionnez Ajouter, puis spécifiez une adresse IP ou un nom de domaine complet et un proxy.

    • Domaines réseau
      Développez la liste déroulante, sélectionnez Ajouter, puis spécifiez Domaines réseau.

    • Serveurs proxy
      Développez la liste déroulante, sélectionnez Ajouter, puis spécifiez Serveurs proxy.

    • Serveurs proxy internes
      Développez la liste déroulante, sélectionnez Ajouter, puis spécifiez Serveurs proxy internes.

    • Ressources neutres
      Développez la liste déroulante, sélectionnez Ajouter, puis spécifiez Les ressources neutres.

    • Désactiver la détection automatique des autres serveurs proxy d’entreprise

      • Non configuré (par défaut)
      • Oui : désactivez la détection automatique des autres serveurs proxy d’entreprise.
    • Désactiver la détection automatique d’autres plages d’adresses IP d’entreprise

      • Non configuré (par défaut)
      • Oui : désactivez la détection automatique des autres plages d’adresses IP d’entreprise.

    Remarque

    Une fois le profil créé, Microsoft Defender Application Guard est activé sur tous les appareils auxquels la stratégie doit s’appliquer. Les utilisateurs devront peut-être redémarrer leurs appareils pour que la protection soit en place.

Profil de contrôle d’application

Microsoft Defender Application Control

  • Contrôle d’application de casier d’application
    CSP : AppLocker

    • Non configuré (par défaut)
    • Appliquer les composants et les applications du Windows Store
    • Auditer les composants et les applications du Store
    • Appliquer les composants, les applications du Store et SmartLocker
    • Auditer les composants, les applications du Store et SmartLocker
  • Empêcher les utilisateurs d’ignorer les avertissements SmartScreen
    CSP : SmartScreen/PreventOverrideForFilesInShell

    • Non configuré (valeur par défaut) : les utilisateurs peuvent ignorer les avertissements SmartScreen pour les fichiers et les applications malveillantes.
    • Oui : SmartScreen est activé et les utilisateurs ne peuvent pas contourner les avertissements pour les fichiers ou les applications malveillantes.
  • Activer Windows SmartScreen
    CSP : SmartScreen/EnableSmartScreenInShell

    • Non configuré (valeur par défaut) : retourne le paramètre par défaut de Windows, qui consiste à activer SmartScreen, mais les utilisateurs peuvent modifier ce paramètre. Pour désactiver SmartScreen, utilisez un URI personnalisé.
    • Oui : appliquez l’utilisation de SmartScreen pour tous les utilisateurs.

Profil de règles de réduction de la surface d’attaque

Règles de réduction de la surface d’attaque

Pour en savoir plus sur les règles de réduction de la surface d’attaque, consultez Informations de référence sur les règles de réduction de la surface d’attaque dans la documentation Microsoft 365.

Remarque

Cette section détaille les paramètres des profils règles de réduction de la surface d’attaque créés avant le 5 avril 2022. Les profils créés après cette date utilisent un nouveau format de paramètres tel qu’il figure dans le catalogue de paramètres. Avec cette modification, vous ne pouvez plus créer de nouvelles versions de l’ancien profil et elles ne sont plus développées. Bien que vous ne puissiez plus créer de nouvelles instances de l’ancien profil, vous pouvez continuer à modifier et à utiliser les instances de celui-ci que vous avez créées précédemment.

Pour les profils qui utilisent le nouveau format de paramètres, Intune ne gère plus de liste de chaque paramètre par nom. Au lieu de cela, le nom de chaque paramètre, ses options de configuration et son texte explicatif que vous voyez dans le Centre d’administration Microsoft Intune sont pris directement à partir du contenu faisant autorité des paramètres. Ce contenu peut fournir plus d’informations sur l’utilisation du paramètre dans son contexte approprié. Lorsque vous affichez un texte d’informations de paramètres, vous pouvez utiliser son lien En savoir plus pour ouvrir ce contenu.

  • Bloquer la persistance via un abonnement aux événements WMI
    Réduire les surfaces d’attaque avec des règles de réduction de la surface d’attaque

    Cette règle de réduction de la surface d’attaque (ASR) est contrôlée via le GUID suivant : e6db77e5-3df2-4cf1-b95a-636979351e5b

    Cette règle empêche les programmes malveillants d’utiliser WMI à mauvais escient pour obtenir une persistance sur un appareil. Les menaces sans fichier emploient diverses tactiques pour rester cachées, éviter d’être vues dans le système de fichiers et obtenir un contrôle d’exécution périodique. Certaines menaces peuvent utiliser à mauvais escient le dépôt WMI et le modèle d’événement pour rester cachées.

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée et la persistance n’est pas bloquée.
    • Bloquer : la persistance par le biais de WMI est bloquée.
    • AuditerÉvaluer la façon dont cette règle affecte votre organisation si elle est activée (définie sur Bloquer).
    • Désactiver : désactiver cette règle. La persistance n’est pas bloquée.

    Pour en savoir plus sur ce paramètre, consultez Bloquer la persistance via l’abonnement aux événements WMI.

  • Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe)
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle de réduction de la surface d’attaque (ASR) est contrôlée via le GUID suivant : 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Défini par l’utilisateur
    • Activer : les tentatives de vol d’informations d’identification via lsass.exe sont bloquées.
    • Mode Audit : les utilisateurs ne sont pas bloqués contre les domaines dangereux et les événements Windows sont déclenchés à la place.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
  • Empêcher Adobe Reader de créer des processus enfants
    Réduire les surfaces d’attaque avec des règles de réduction de la surface d’attaque

    Cette règle ASR est contrôlée via le GUID suivant : 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Non configuré (valeur par défaut) : la valeur par défaut de Windows est restaurée. Elle ne bloque pas la création de processus enfants.
    • Défini par l’utilisateur
    • Activer : Adobe Reader ne peut pas créer des processus enfants.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer les processus enfants.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
  • Empêcher les applications Office d’injecter du code dans d’autres processus
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Bloquer : les applications Office ne peuvent pas injecter du code dans d’autres processus.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
    • Désactiver : ce paramètre est désactivé.
  • Empêcher les applications Office de créer du contenu exécutable
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : 3B576869-A4EC-4529-8536-B80A7769E899

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Bloquer : les applications Office ne peuvent pas créer du contenu exécutable.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
    • Désactiver : ce paramètre est désactivé.
  • Empêcher toutes les applications Office de créer des processus enfants
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Bloquer : les applications Office ne peuvent pas créer des processus enfants.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
    • Désactiver : ce paramètre est désactivé.
  • Bloquer les appels d’API Win32 à partir d’une macro Office
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Bloquer : les macros Office ne peuvent pas utiliser les appels d’API Win32.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
    • Désactiver : ce paramètre est désactivé.
  • Empêcher les applications de communication Office de créer des processus enfants
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Non configuré (valeur par défaut) : la valeur par défaut de Windows est restaurée, ce qui consiste à ne pas bloquer la création de processus enfants.
    • Défini par l’utilisateur
    • Activer : les applications de communication Office ne peuvent pas créer des processus enfants.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer les processus enfants.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
  • Bloquer l’exécution de scripts potentiellement obfusqués (js/vbs/ps)
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Bloquer : Defender bloque l’exécution des scripts obfusqués.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
    • Désactiver : ce paramètre est désactivé.
  • Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : D3E037E1-3EB8-44C8-A917-57927947596D

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Bloquer : Defender bloque l’exécution des fichiers JavaScript ou VBScript téléchargés à partir d’Internet.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer.
    • Désactiver : ce paramètre est désactivé.
  • Bloquer les créations de processus provenant des commandes PSExec et WMI
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Bloquer : la création du processus par les commandes PSExec ou WMI est bloquée.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
    • Désactiver : ce paramètre est désactivé.
  • Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Bloquer : les processus non approuvés et non signés qui s’exécutent à partir d’un lecteur USB sont bloqués.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
    • Désactiver : ce paramètre est désactivé.
  • Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence, d’âge ou de liste de confiance
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Bloquer
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
    • Désactiver : ce paramètre est désactivé.
  • Bloquer le téléchargement de contenu exécutable à partir de clients de messagerie et de messagerie web
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Bloquer : le contenu exécutable téléchargé à partir des clients de messagerie et de messagerie web est bloqué.
    • Mode Audit : les événements Windows sont déclenchés au lieu de bloquer.
    • Avertir : pour Windows 10 version 1809 ou ultérieure et Windows 11, l’utilisateur de l’appareil reçoit un message indiquant qu’il peut contourner Bloquer du paramètre. Sur les appareils qui exécutent des versions antérieures de Windows 10, la règle applique le comportement Activer .
    • Désactiver : ce paramètre est désactivé.
  • Utiliser une protection avancée contre les rançongiciels
    Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

    Cette règle ASR est contrôlée via le GUID suivant : c1db55ab-c21a-4637-bb3f-a12568109d35

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Défini par l’utilisateur
    • Enable
    • Mode d’audit : les événements Windows sont déclenchés au lieu de bloquer.
  • Activer la protection des dossiers
    CSP : EnableControlFolderAccess

    • Non configuré (valeur par défaut) : ce paramètre revient à sa valeur par défaut, qui est qu’aucune lecture ou écriture n’est bloquée.
    • Activer : pour les applications non approuvées, Defender bloque les tentatives de modification ou de suppression de fichiers dans des dossiers protégés, ou d’écriture dans des secteurs de disque. Defender détermine automatiquement les applications qui peuvent être approuvées. Vous pouvez également définir votre propre liste d’applications approuvées.
    • Mode audit : les événements Windows sont déclenchés lorsque des applications non approuvées accèdent à des dossiers contrôlés, mais qu’aucun bloc n’est appliqué.
    • Bloquer la modification du disque : seules les tentatives d’écriture dans les secteurs de disque sont bloquées.
    • Auditer la modification du disque : les événements Windows sont déclenchés au lieu de bloquer les tentatives d’écriture dans les secteurs de disque.
  • Liste des dossiers supplémentaires qui doivent être protégés
    CSP : ControlledFolderAccessProtectedFolders

    Définissez une liste d’emplacements de disque qui seront protégés contre les applications non approuvées.

  • Liste des applications qui ont accès aux dossiers protégés
    CSP : ControlledFolderAccessAllowedApplications

    Définissez une liste d’applications qui ont accès en lecture/écriture à des emplacements contrôlés.

  • Exclure les fichiers et les chemins des règles de réduction de la surface d’attaque
    CSP : AttackSurfaceReductionOnlyExclusions

    Développez la liste déroulante, puis sélectionnez Ajouter pour définir un chemin d’accès à un fichier ou dossier à exclure de vos règles de réduction de la surface d’attaque.

Profil de contrôle d’appareil

Contrôle d’appareil

Remarque

Cette section détaille les paramètres trouvés dans Profils de contrôle d’appareil créés avant le 23 mai 2022. Les profils créés après cette date utilisent un nouveau format de paramètres tel qu’il figure dans le catalogue de paramètres. Bien que vous ne puissiez plus créer de nouvelles instances du profil d’origine, vous pouvez continuer à modifier et à utiliser vos profils existants.

Pour les profils qui utilisent le nouveau format de paramètres, Intune ne gère plus de liste de chaque paramètre par nom. Au lieu de cela, le nom de chaque paramètre, ses options de configuration et son texte explicatif que vous voyez dans le Centre d’administration Microsoft Intune sont pris directement à partir du contenu faisant autorité des paramètres. Ce contenu peut fournir plus d’informations sur l’utilisation du paramètre dans son contexte approprié. Lorsque vous affichez un texte d’informations de paramètres, vous pouvez utiliser son lien En savoir plus pour ouvrir ce contenu.

  • Autoriser l’installation d’appareils matériels par identificateurs d’appareil

    • Non configuré(par défaut)
    • Oui : Windows peut installer ou mettre à jour tout appareil dont l’ID matériel Plug-and-Play ou l’ID compatible apparaît dans la liste que vous créez, sauf si un autre paramètre de stratégie empêche spécifiquement cette installation. Si vous activez ce paramètre de stratégie sur un serveur Bureau à distance, le paramètre de stratégie affecte la redirection des appareils spécifiés d’un client Bureau à distance vers le serveur Bureau à distance.
    • Non

    Lorsque la valeur est Oui , vous pouvez configurer les options suivantes :

    • Liste verte : utilisez Ajouter, importer et exporter pour gérer une liste d’identificateurs d’appareil.
  • Bloquer l’installation des appareils matériels par identificateurs d’appareil
    CSP : AllowInstallationOfMatchingDeviceIDs

    • Non configuré(par défaut)
    • Oui : spécifiez une liste d’ID matériels Plug-and-Play et d’ID compatibles pour les appareils que Windows ne peut pas installer. Cette stratégie est prioritaire sur tout autre paramètre de stratégie qui permet à Windows d’installer un appareil. Si vous activez ce paramètre de stratégie sur un serveur Bureau à distance, le paramètre de stratégie affecte la redirection des appareils spécifiés d’un client Bureau à distance vers le serveur Bureau à distance.
    • Non

    Lorsque la valeur est Oui , vous pouvez configurer les options suivantes :

    • Supprimer les appareils matériels correspondants

      • Oui
      • Non configuré(par défaut)
    • Liste bloquée : utilisez Ajouter, importer et exporter pour gérer une liste d’identificateurs d’appareil.

  • Autoriser l’installation d’appareils matériels par classe d’installation

    • Non configuré(par défaut)
    • Oui : Windows peut installer ou mettre à jour des pilotes de périphérique dont les GUID de classe d’installation de périphérique apparaissent dans la liste que vous créez, sauf si un autre paramètre de stratégie empêche spécifiquement cette installation. Si vous activez ce paramètre de stratégie sur un serveur Bureau à distance, le paramètre de stratégie affecte la redirection des appareils spécifiés d’un client Bureau à distance vers le serveur Bureau à distance.
    • Non

    Lorsque la valeur est Oui , vous pouvez configurer les options suivantes :

    • Liste verte : utilisez Ajouter, importer et exporter pour gérer une liste d’identificateurs d’appareil.
  • Bloquer l’installation d’appareils matériels par classes d’installation
    CSP : AllowInstallationOfMatchingDeviceSetupClasses

    • Non configuré(par défaut)
    • Oui : spécifiez une liste d’identificateurs globaux uniques (GUID) de la classe d’installation d’appareil pour les pilotes de périphérique que Windows ne peut pas installer. Ce paramètre de stratégie est prioritaire sur tout autre paramètre de stratégie qui permet à Windows d’installer un appareil. Si vous activez ce paramètre de stratégie sur un serveur Bureau à distance, le paramètre de stratégie affecte la redirection des appareils spécifiés d’un client Bureau à distance vers le serveur Bureau à distance.
    • Non

    Lorsque la valeur est Oui , vous pouvez configurer les options suivantes :

    • Supprimer les appareils matériels correspondants

      • Oui
      • Non configuré(par défaut)
    • Liste bloquée : utilisez Ajouter, importer et exporter pour gérer une liste d’identificateurs d’appareil.

  • Autoriser l’installation d’appareils matériels par identificateurs d’instance d’appareil

    • Non configuré(par défaut)
    • Oui : Windows est autorisé à installer ou à mettre à jour tout appareil dont l’ID d’instance d’appareil Plug-and-Play apparaît dans la liste que vous créez, sauf si un autre paramètre de stratégie empêche spécifiquement cette installation. Si vous activez ce paramètre de stratégie sur un serveur Bureau à distance, le paramètre de stratégie affecte la redirection des appareils spécifiés d’un client Bureau à distance vers le serveur Bureau à distance.
    • Non

    Lorsque la valeur est Oui , vous pouvez configurer les options suivantes :

    • Liste verte : utilisez Ajouter, importer et exporter pour gérer une liste d’identificateurs d’appareil.
  • Bloquer l’installation des appareils matériels par identificateurs d’instance d’appareil
    Si vous activez ce paramètre de stratégie sur un serveur Bureau à distance, le paramètre de stratégie affecte la redirection des appareils spécifiés d’un client Bureau à distance vers le serveur Bureau à distance.

    • Non configuré(par défaut)
    • Oui : spécifiez une liste d’ID matériels Plug-and-Play et d’ID compatibles pour les appareils que Windows ne peut pas installer. Cette stratégie est prioritaire sur tout autre paramètre de stratégie qui permet à Windows d’installer un appareil. Si vous activez ce paramètre de stratégie sur un serveur Bureau à distance, le paramètre de stratégie affecte la redirection des appareils spécifiés d’un client Bureau à distance vers le serveur Bureau à distance.
    • Non

    Lorsque la valeur est Oui , vous pouvez configurer les options suivantes :

    • Supprimer les appareils matériels correspondants

      • Oui
      • Non configuré(par défaut)
    • Liste bloquée : utilisez Ajouter, importer et exporter pour gérer une liste d’identificateurs d’appareil.

  • Bloquer l’accès en écriture au stockage amovible
    CSP : RemovableDiskDenyWriteAccess

    • Non configuré(par défaut)
    • Oui : l’accès en écriture est refusé au stockage amovible.
    • Non : l’accès en écriture est autorisé.
  • Analyser les lecteurs amovibles pendant l’analyse complète
    CSP : Defender/AllowFullScanRemovableDriveScanning

    • Non configuré (par défaut) : le paramètre revient à la valeur par défaut du client, qui analyse les lecteurs amovibles, mais l’utilisateur peut désactiver cette analyse.
    • Oui : pendant une analyse complète, les lecteurs amovibles (comme les lecteurs flash USB) sont analysés.
  • Bloquer l’accès direct à la mémoire
    CSP : DataProtection/AllowDirectMemoryAccess

    Ce paramètre de stratégie est appliqué uniquement lorsque BitLocker ou le chiffrement d’appareil est activé.

    • Non configuré (par défaut)
    • Oui : bloquer l’accès direct à la mémoire (DMA) pour tous les ports pci en aval enfichables à chaud jusqu’à ce qu’un utilisateur se connecte à Windows. Une fois qu’un utilisateur s’est connecté, Windows énumère les appareils PCI connectés aux ports PCI de plug-in de l’hôte. Chaque fois que l’utilisateur verrouille la machine, DMA est bloqué sur les ports PCI à chaud sans appareil enfant jusqu’à ce que l’utilisateur se reconnecte. Les appareils déjà énumérés lorsque la machine a été déverrouillée continueront de fonctionner jusqu’à ce qu’ils soient débranchés.
  • Énumération d’appareils externes incompatibles avec la protection DMA du noyau
    CSP : DmaGuard/DeviceEnumerationPolicy

    Cette stratégie peut fournir une sécurité supplémentaire sur les appareils externes compatibles DMA. Il permet de mieux contrôler l’énumération des appareils externes compatibles DMA incompatibles avec le remapping DMA/l’isolation de la mémoire des appareils et le bac à sable.

    Cette stratégie prend effet uniquement lorsque la protection DMA du noyau est prise en charge et activée par le microprogramme système. La protection DMA du noyau est une fonctionnalité de plateforme qui doit être prise en charge par le système au moment de la fabrication. Pour vérifier si le système prend en charge la protection DMA du noyau, vérifiez le champ Protection DMA du noyau dans la page Résumé de MSINFO32.exe.

    • Non configuré - (valeur par défaut)
    • Bloquer tout
    • Autoriser tout
  • Bloquer les connexions Bluetooth
    CSP : Bluetooth/AllowDiscoverableMode

    • Non configuré (par défaut)
    • Oui : bloquer les connexions Bluetooth vers et depuis l’appareil.
  • Bloquer la détectabilité bluetooth
    CSP : Bluetooth/AllowDiscoverableMode

    • Non configuré (par défaut)
    • Oui : empêche l’appareil d’être détectable par d’autres appareils Bluetooth.
  • Bloquer le pré-appairage bluetooth
    CSP : Bluetooth/AllowPrepairing

    • Non configuré (par défaut)
    • Oui : empêche le couplage automatique d’appareils Bluetooth spécifiques avec l’appareil hôte.
  • Bloquer la publicité bluetooth
    CSP : Bluetooth/AllowAdvertising

    • Non configuré (par défaut)
    • Oui : empêche l’appareil d’envoyer des publicités Bluetooth.
  • Bloquer les connexions proximales Bluetooth
    CSP : Bluetooth/AllowPromptedProximalConnections Empêcher les utilisateurs d’utiliser Swift Pair et d’autres scénarios basés sur la proximité

    • Non configuré (par défaut)
    • Oui : empêche un utilisateur d’appareil d’utiliser Swift Pair et d’autres scénarios basés sur la proximité.

    Fournisseur de services de configuration Bluetooth/AllowPromptedProximalConnections

  • Services Bluetooth autorisés
    CSP : Bluetooth/ServicesAllowedList.
    Pour plus d’informations sur la liste des services, consultez Le guide d’utilisation de ServicesAllowedList

    • Ajouter : spécifiez les services et profils Bluetooth autorisés en tant que chaînes hexadécimale, telles que {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.
    • Importer : importez un fichier .csv qui contient une liste de services et de profils Bluetooth, sous forme de chaînes hexadécimale, telles que {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}
  • Stockage amovible
    CSP : Storage/RemovableDiskDenyWriteAccess

    • Bloquer (par défaut) : empêcher les utilisateurs d’utiliser des périphériques de stockage externes, comme des cartes SD avec l’appareil.
    • Non configuré
  • Connexions USB (HoloLens uniquement)
    CSP : Connectivité/AllowUSBConnection

    • Bloquer : empêche l’utilisation d’une connexion USB entre l’appareil et un ordinateur pour synchroniser des fichiers, ou pour utiliser des outils de développement pour déployer ou déboguer des applications. La charge USB n’est pas affectée.
    • Non configuré (par défaut)

Profil Exploit Protection

Exploit Protection

Remarque

Cette section détaille les paramètres que vous pouvez trouver dans Les profils Exploit Protection créés avant le 5 avril 2022. Les profils créés après cette date utilisent un nouveau format de paramètres tel qu’il figure dans le catalogue de paramètres. Avec cette modification, vous ne pouvez plus créer de nouvelles versions de l’ancien profil et elles ne sont plus développées. Bien que vous ne puissiez plus créer de nouvelles instances de l’ancien profil, vous pouvez continuer à modifier et à utiliser les instances de celui-ci que vous avez créées précédemment.

Pour les profils qui utilisent le nouveau format de paramètres, Intune ne gère plus de liste de chaque paramètre par nom. Au lieu de cela, le nom de chaque paramètre, ses options de configuration et son texte explicatif que vous voyez dans le Centre d’administration Microsoft Intune sont pris directement à partir du contenu faisant autorité des paramètres. Ce contenu peut fournir plus d’informations sur l’utilisation du paramètre dans son contexte approprié. Lorsque vous affichez un texte d’informations de paramètres, vous pouvez utiliser son lien En savoir plus pour ouvrir ce contenu.

  • Charger du code XML
    CSP : ExploitProtectionSettings

    Permet à l’administrateur informatique de transmettre une configuration représentant les options d’atténuation du système et des applications souhaitées à tous les appareils de l’organisation. La configuration est représentée par un fichier XML. Exploit Protection peut aider à protéger les appareils contre les programmes malveillants qui utilisent des attaques pour se propager et infecter. Vous utilisez l’application Sécurité Windows ou PowerShell pour créer un ensemble d’atténuations (appelée configuration). Vous pouvez ensuite exporter cette configuration en tant que fichier XML et la partager avec plusieurs ordinateurs de votre réseau afin qu’ils aient tous le même ensemble de paramètres d’atténuation. Vous pouvez également convertir et importer un fichier XML de configuration EMET existant en xml de configuration exploit protection.

    Choisissez Sélectionner un fichier XML, spécifiez le chargement du filet XML, puis cliquez sur Sélectionner.

    • Non configuré (par défaut)
    • Oui
  • Empêcher les utilisateurs de modifier l’interface de protection Exploit Guard
    CSP : DisallowExploitProtectionOverride

    • Non configuré (valeur par défaut) : les utilisateurs locaux peuvent apporter des modifications dans la zone des paramètres exploit protection.
    • Oui : empêcher les utilisateurs d’apporter des modifications à la zone des paramètres de protection contre les attaques dans le Centre de sécurité Microsoft Defender.

Profil de protection web (Microsoft Edge hérité)

Protection web (Microsoft Edge hérité)

  • Activer la protection réseau
    CSP : EnableNetworkProtection

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut de Windows, qui est désactivée.
    • Défini par l’utilisateur
    • Activer : la protection réseau est activée pour tous les utilisateurs sur le système.
    • Mode Audit : les utilisateurs ne sont pas bloqués contre les domaines dangereux et les événements Windows sont déclenchés à la place.
  • Exiger SmartScreen pour Microsoft Edge
    CSP : Browser/AllowSmartScreen

    • Oui : utilisez SmartScreen pour protéger les utilisateurs contre les escroqueries par hameçonnage et les logiciels malveillants potentiels.
    • Non configuré (par défaut)
  • Bloquer l’accès aux sites malveillants
    CSP : Browser/PreventSmartScreenPromptOverride

    • Oui : empêcher les utilisateurs d’ignorer les avertissements du filtre Microsoft Defender SmartScreen et les empêcher d’aller sur le site.
    • Non configuré (par défaut)
  • Bloquer le téléchargement de fichiers non vérifiés
    CSP : Browser/PreventSmartScreenPromptOverrideForFiles

    • Oui : empêche les utilisateurs d’ignorer les avertissements du filtre Microsoft Defender SmartScreen et de les empêcher de télécharger des fichiers non vérifiés.
    • Non configuré (par défaut)

Réduction de la surface d’attaque (ConfigMgr)

Profil Exploit Protection (ConfigMgr)(préversion)

Exploit Protection

  • Charger du code XML
    CSP : ExploitProtectionSettings

    Permet à l’administrateur informatique de transmettre une configuration représentant les options d’atténuation du système et des applications souhaitées à tous les appareils de l’organisation. La configuration est représentée par un fichier XML. Exploit Protection peut aider à protéger les appareils contre les programmes malveillants qui utilisent des attaques pour se propager et infecter. Vous utilisez l’application Sécurité Windows ou PowerShell pour créer un ensemble d’atténuations (appelée configuration). Vous pouvez ensuite exporter cette configuration en tant que fichier XML et la partager avec plusieurs ordinateurs de votre réseau afin qu’ils aient tous le même ensemble de paramètres d’atténuation. Vous pouvez également convertir et importer un fichier XML de configuration EMET existant en xml de configuration exploit protection.

    Choisissez Sélectionner un fichier XML, spécifiez le chargement du filet XML, puis cliquez sur Sélectionner.

  • Interdire le remplacement d’Exploit Protection
    CSP : DisallowExploitProtectionOverride

    • Non configuré (par défaut)
    • (Désactiver) Les utilisateurs locaux sont autorisés à apporter des modifications dans la zone des paramètres exploit protection.
    • (Activer) Les utilisateurs locaux ne peuvent pas apporter de modifications à la zone des paramètres de protection contre les attaques

Profil De protection web (ConfigMgr)(préversion)

Web Protection

Étapes suivantes

Stratégie de sécurité de point de terminaison pour ASR