Passer en revue ou modifier vos stratégies de protection nouvelle génération dans Microsoft Defender pour les entreprises
Dans Defender for Business, la protection nouvelle génération inclut une protection antivirus et anti-programme malveillant robuste pour les ordinateurs et les appareils mobiles. Les stratégies par défaut avec les paramètres recommandés sont incluses dans Defender pour les entreprises. Les stratégies par défaut sont conçues pour protéger vos appareils et vos utilisateurs sans nuire à la productivité. Toutefois, vous pouvez personnaliser vos stratégies en fonction des besoins de votre entreprise.
Vous pouvez choisir parmi plusieurs options pour gérer vos stratégies de protection nouvelle génération :
- Utilisez le portail Microsoft Defender à l’adresse https://security.microsoft.com (recommandé si vous utilisez la version autonome de Defender pour les entreprises sans Intune) ; ou
- Utilisez le Centre d’administration Microsoft Intune sur https://intune.microsoft.com (disponible si votre abonnement inclut Intune)
Accédez au portail Microsoft Defender (https://security.microsoft.com), puis connectez-vous.
Dans le volet de navigation, accédez à Gestion dela configurationdes points> de terminaisonConfiguration de> l’appareil. Les stratégies sont organisées par système d’exploitation et type de stratégie.
Sélectionnez un onglet de système d’exploitation (par exemple , Windows).
Sous Protection nouvelle génération, affichez votre liste de stratégies. Au minimum, une stratégie par défaut utilisant les paramètres recommandés est répertoriée. Cette stratégie par défaut est affectée à tous les appareils intégrés exécutant le système d’exploitation que vous avez sélectionné à l’étape précédente (par exemple , Windows). Vous pouvez :
- Conservez votre stratégie par défaut telle qu’elle est actuellement configurée.
- Modifiez votre stratégie par défaut pour effectuer les ajustements nécessaires.
- Créer une nouvelle stratégie.
Utilisez l’une des procédures du tableau suivant :
Tâche Procedure Modifier votre stratégie par défaut 1. Dans la section Protection de nouvelle génération , sélectionnez votre stratégie par défaut, puis choisissez Modifier.
2. À l’étape Informations générales , passez en revue les informations. Si nécessaire, modifiez la description, puis sélectionnez Suivant.
3. À l’étape Groupes d’appareils, utilisez un groupe existant ou configurez un nouveau groupe. Sélectionnez Suivant.
4. À l’étape Paramètres de configuration , passez en revue et, si nécessaire, modifiez vos paramètres de sécurité, puis choisissez Suivant. Pour plus d’informations sur les paramètres, consultez Paramètres et options de protection nouvelle génération (dans cet article).
5. À l’étape Vérifier votre stratégie , passez en revue vos paramètres actuels. Sélectionnez Modifier pour apporter les modifications nécessaires. Sélectionnez ensuite Mettre à jour la stratégie.Créer une stratégie 1. Dans la section Protection nouvelle génération , sélectionnez Ajouter.
2. À l’étape Informations générales , spécifiez un nom et une description pour votre stratégie. Vous pouvez également conserver ou modifier un ordre de stratégie (voir Comprendre l’ordre de stratégie dans Microsoft Defender entreprise). Ensuite, sélectionnez Suivant.
3. À l’étape Groupes d’appareils, vous pouvez utiliser un groupe existant ou en créer un (voir Groupes d’appareils dans Microsoft Defender entreprise). Sélectionnez Suivant.
4. À l’étape Paramètres de configuration , passez en revue et modifiez vos paramètres de sécurité, puis choisissez Suivant. Pour plus d’informations sur les paramètres, consultez Paramètres et options de protection nouvelle génération (dans cet article).
5. À l’étape Vérifier votre stratégie , passez en revue vos paramètres actuels. Sélectionnez Modifier pour apporter les modifications nécessaires. Sélectionnez ensuite Créer une stratégie.
Paramètres et options de protection nouvelle génération
Le tableau suivant répertorie les paramètres et les options de protection nouvelle génération dans Defender pour les entreprises.
Setting | Description |
---|---|
Protection en temps réel | |
Activer la protection en temps réel | Activée par défaut, la protection en temps réel localise et arrête l’exécution des programmes malveillants sur les appareils. Nous vous recommandons d’activer la protection en temps réel. Lorsque la protection en temps réel est activée, elle configure les paramètres suivants : - La surveillance du comportement est activée (AllowBehaviorMonitoring). - Tous les fichiers et pièces jointes téléchargés sont analysés (AllowIOAVProtection). - Les scripts utilisés dans les navigateurs Microsoft sont analysés (AllowScriptScanning). |
Bloquer à la première consultation | Activé par défaut, bloquer à la première consultation bloque les programmes malveillants dans les secondes suivant la détection, augmente le temps (en secondes) autorisé à envoyer des exemples de fichiers à des fins d’analyse et définit votre niveau de détection sur Élevé.
Nous vous recommandons de garder l’option Bloquer à la première consultation activée. Lorsque l’option Bloquer à la première consultation est activée, elle configure les paramètres suivants pour Antivirus Microsoft Defender : - Le blocage et l’analyse des fichiers suspects sont définis sur le niveau de blocage élevé (CloudBlockLevel). - Le nombre de secondes pendant lesquelles un fichier doit être bloqué et vérifié est défini sur 50 secondes (CloudExtendedTimeout). Important Si bloquer à la première consultation est désactivé, cela affecte CloudBlockLevel et CloudExtendedTimeout pour l’Antivirus Microsoft Defender. |
Activer la protection du réseau | Activée en mode Bloquer par défaut, la protection réseau permet de se protéger contre les escroqueries par hameçonnage, les sites d’hébergement d’exploitation et les contenus malveillants sur Internet. Il empêche également les utilisateurs de désactiver la protection réseau. La protection réseau peut être définie sur les modes suivants : - Le mode bloc est le paramètre par défaut. Il empêche les utilisateurs de visiter des sites considérés comme dangereux. Nous vous recommandons de conserver la protection réseau définie sur le mode Bloquer. - Le mode Audit permet aux utilisateurs de visiter des sites susceptibles d’être dangereux et de suivre l’activité réseau vers/depuis ces sites. - Le mode désactivé n’empêche pas les utilisateurs de visiter des sites susceptibles d’être dangereux, ni de suivre l’activité réseau vers/depuis ces sites. |
Remédiation | |
Action à entreprendre sur les applications potentiellement indésirables (PUA) | Activée par défaut, la protection PUA bloque les éléments détectés comme puA. L’ESD peut inclure des logiciels publicitaires ; le regroupement de logiciels qui propose d’installer d’autres logiciels non signés ; et les logiciels d’évasion qui tentent d’échapper aux fonctionnalités de sécurité. Bien que l’authentification puA ne soit pas nécessairement un virus, un programme malveillant ou un autre type de menace, elle peut affecter les performances de l’appareil. Vous pouvez définir la protection puA sur les modes suivants : - Activé est le paramètre par défaut. Il bloque les éléments détectés comme puA sur les appareils. Nous vous recommandons d’activer la protection puA. - Le mode Audit n’effectue aucune action sur les éléments détectés comme puA. - Désactivé ne détecte pas et n’effectue pas d’action sur les éléments qui peuvent être puA. |
Analyser | |
Type d’analyse planifiée | Activé en mode Analyse rapide par défaut, vous pouvez spécifier un jour et une heure pour exécuter des analyses antivirus hebdomadaires. Les options de type d’analyse suivantes sont disponibles : - QuickScan vérifie les emplacements, tels que les clés de Registre et les dossiers de démarrage, où les programmes malveillants peuvent être enregistrés pour démarrer avec un appareil. Nous vous recommandons d’utiliser l’option quickscan. - L’analyse complète vérifie tous les fichiers et dossiers sur un appareil. - Désactivé signifie qu’aucune analyse planifiée n’aura lieu. Les utilisateurs peuvent toujours exécuter des analyses sur leurs propres appareils. (En général, nous vous déconseillons de désactiver les analyses planifiées.) En savoir plus sur les types d’analyse. |
Jour de la semaine pour exécuter une analyse planifiée | Sélectionnez un jour pour que vos analyses antivirus hebdomadaires régulières s’exécutent. |
Heure de la journée pour exécuter une analyse planifiée | Sélectionnez une heure pour exécuter vos analyses antivirus planifiées régulièrement. |
Utiliser des performances faibles | Ce paramètre est désactivé par défaut. Nous vous recommandons de désactiver ce paramètre. Toutefois, vous pouvez activer ce paramètre pour limiter la mémoire et les ressources de l’appareil utilisées pendant les analyses planifiées.
Important Si vous activez l’option Utiliser des performances faibles, elle configure les paramètres suivants pour l’Antivirus Microsoft Defender : - Les fichiers d’archive ne sont pas analysés (AllowArchiveScanning). - Les analyses se voient attribuer une priorité processeur basse (EnableLowCPUPriority). - Si une analyse antivirus complète est manquée, aucune analyse de rattrapage n’est exécutée (DisableCatchupFullScan). - Si une analyse antivirus rapide est manquée, aucune analyse de rattrapage n’est exécutée (DisableCatchupQuickScan). - Réduit le facteur de charge moyenne du processeur pendant une analyse antivirus de 50 % à 20 % (AvgCPULoadFactor). |
Expérience utilisateur | |
Autoriser les utilisateurs à accéder à l’application Sécurité Windows | Activez ce paramètre pour permettre aux utilisateurs d’ouvrir l’application Sécurité Windows sur leurs appareils. Les utilisateurs ne peuvent pas remplacer les paramètres que vous configurez dans Defender pour les entreprises, mais ils peuvent exécuter une analyse rapide ou afficher les menaces détectées. |
Exclusions d’antivirus | Les exclusions sont des processus, des fichiers ou des dossiers ignorés par les analyses de l’Antivirus Microsoft Defender. En général, vous n’avez pas besoin de définir des exclusions. Antivirus Microsoft Defender inclut de nombreuses exclusions automatiques basées sur le comportement connu du système d’exploitation et les fichiers de gestion classiques. Chaque exclusion réduit votre niveau de protection. Il est donc important d’examiner attentivement les exclusions à définir. Avant d’ajouter des exclusions, consultez Gérer les exclusions pour Microsoft Defender pour point de terminaison et Antivirus Microsoft Defender. |
Exclusions de processus | Les exclusions de processus empêchent les fichiers ouverts par des processus spécifiques d’être analysés par l’Antivirus Microsoft Defender. Lorsque vous ajoutez un processus à la liste d’exclusions de processus, Antivirus Microsoft Defender n’analyse pas les fichiers ouverts par ce processus, quel que soit l’emplacement des fichiers. Le processus lui-même est analysé, sauf s’il est ajouté à la liste d’exclusions de fichiers. Consultez Configurer des exclusions pour les fichiers ouverts par des processus. |
Exclusions d’extension de fichier | Les exclusions d’extension de fichier empêchent l’analyse des fichiers avec des extensions spécifiques par l’Antivirus Microsoft Defender. Consultez Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier. |
Exclusions de fichiers et de dossiers | Les exclusions de fichiers et de dossiers empêchent les fichiers qui se trouvent dans des dossiers spécifiques d’être analysés par l’Antivirus Microsoft Defender. Consultez Exclusions de fichiers et de dossiers contextuels. |
Autres paramètres préconfigurés dans Defender pour les entreprises
Les paramètres de sécurité suivants sont préconfigurés dans Defender pour les entreprises :
- L’analyse des lecteurs amovibles est activée (AllowFullScanRemovableDriveScanning).
- Les analyses rapides quotidiennes n’ont pas d’heure prédéfinie (ScheduleQuickScanTime).
- Les mises à jour de security intelligence sont vérifiées avant l’exécution d’une analyse antivirus (CheckForSignaturesBeforeRunningScan).
- Les vérifications de renseignement de sécurité ont lieu toutes les quatre heures (SignatureUpdateInterval).
Comment les paramètres par défaut de Defender entreprise correspondent-ils aux paramètres de Microsoft Intune
Le tableau suivant décrit les paramètres préconfigurés pour Defender entreprise et comment ces paramètres correspondent à ce que vous pouvez voir dans Intune. Si vous utilisez le processus de configuration simplifié dans Defender pour les entreprises, vous n’avez pas besoin de modifier ces paramètres.
Setting | Description |
---|---|
Protection cloud | Parfois appelée protection fournie par le cloud ou Microsoft Advanced Protection Service (MAPS), la protection cloud fonctionne avec l’Antivirus Microsoft Defender et le cloud Microsoft pour identifier les nouvelles menaces, parfois même avant qu’un seul appareil ne soit affecté. Par défaut, AllowCloudProtection est activé. En savoir plus sur la protection cloud. |
Surveillance des fichiers entrants et sortants | Pour surveiller les fichiers entrants et sortants, RealTimeScanDirection est configuré pour surveiller tous les fichiers. |
Analyser les fichiers réseau | Par défaut, AllowScanningNetworkFiles n’est pas activé et les fichiers réseau ne sont pas analysés. |
Analyser les messages électroniques | Par défaut, AllowEmailScanning n’est pas activé et les messages électroniques ne sont pas analysés. |
Nombre de jours (0-90) pour conserver les programmes malveillants mis en quarantaine | Par défaut, le paramètre DaysToRetainCleanedMalware est défini sur zéro (0) jours. Les artefacts en quarantaine ne sont pas supprimés automatiquement. |
Envoyer le consentement des exemples | Par défaut, SubmitSamplesConsent est défini pour envoyer automatiquement des exemples sécurisés. Exemples d’exemples sûrs : .bat les fichiers , .scr , .dll et .exe qui ne contiennent pas d’informations d’identification personnelle (PII). Si un fichier contient des informations d’identification personnelle, l’utilisateur reçoit une demande pour autoriser l’envoi de l’exemple à continuer.
En savoir plus sur la protection cloud et l’envoi d’exemples. |
Analyser les lecteurs amovibles | Par défaut, AllowFullScanRemovableDriveScanning est configuré pour analyser les lecteurs amovibles, tels que les lecteurs USB sur les appareils. En savoir plus sur les paramètres de stratégie anti-programme malveillant. |
Exécuter le temps d’analyse rapide quotidien | Par défaut, ScheduleQuickScanTime est défini sur 02:00. En savoir plus sur les paramètres d’analyse. |
Rechercher les mises à jour de signature avant d’exécuter l’analyse | Par défaut, CheckForSignaturesBeforeRunningScan est configuré pour vérifier les mises à jour de veille de sécurité avant d’exécuter des analyses antivirus/anti-programme malveillant. En savoir plus sur les paramètres d’analyse et lesmises à jour du renseignement de sécurité. |
Fréquence (0 à 24 heures) pour vérifier les mises à jour du renseignement de sécurité | Par défaut, SignatureUpdateInterval est configuré pour vérifier les mises à jour du renseignement de sécurité toutes les quatre heures. En savoir plus sur les paramètres d’analyse et lesmises à jour du renseignement de sécurité. |
Étapes suivantes
- Configurez vos stratégies de pare-feu et vos règles personnalisées pour les stratégies de pare-feu.
- Configurez votre stratégie de filtrage de contenu web et activez automatiquement la protection web.
- Configurez votre stratégie d’accès contrôlé aux dossiers pour la protection contre les rançongiciels.
- Activez vos règles de réduction de la surface d’attaque.
- Passez en revue les paramètres des fonctionnalités avancées et le portail Microsoft Defender.
- Utiliser votre tableau de bord de gestion des vulnérabilités dans Microsoft Defender for Business