Événements
Relevez le défi Microsoft Learn
19 nov., 23 h - 10 janv., 23 h
Ignite Edition - Créez des compétences dans les produits de sécurité Microsoft et gagnez un badge numérique d’ici le 10 janvier !
S’inscrire maintenantCe navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
Les adversaires ciblent souvent des stations de travail à l’aide de sites web malveillants, d’e-mails ou de supports amovibles pour tenter d’extraire des informations sensibles. Le renforcement des applications sur les stations de travail est un élément important de la réduction de ce risque. En raison de son efficacité, le renforcement des applications utilisateur est l’un des 8 éléments essentiels des stratégies d’atténuation des incidents de cybersécurité de l’ACSC.
Les adversaires tentent souvent d’exploiter les vulnérabilités détectées dans les versions antérieures et non prises en charge des applications. Les versions plus récentes des produits Microsoft offrent des améliorations significatives dans les fonctionnalités de sécurité et offrent une stabilité accrue. C’est souvent l’absence de fonctionnalités de sécurité améliorées qui permet à un adversaire de compromettre facilement les anciennes versions des applications. Pour réduire ce risque, vous devez utiliser la dernière version prise en charge des produits Microsoft.
Pour faciliter les références, Intune nécessite que les stratégies suivantes soient déployées pour le contrôle associé :
Java n’est pas installé par défaut sur Windows 10 ou Windows 11.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1486 | Java n’est pas installé par défaut sur Windows 10 ou Windows 11. |
Toutes les options de configuration disponibles pour désactiver les publicités dans Microsoft Edge sont configurées lors du déploiement de la base de référence de sécurité Microsoft Edge et du renforcement ACSC pour Microsoft Edge.
Vous pouvez obtenir davantage de blocage à l’aide d’extensions tierces pour Microsoft Edge, du filtrage réseau au niveau de la passerelle ou de l’utilisation d’un service DNS protégé. Toutefois, l’implémentation de ces éléments est en dehors du cadre de ce document.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1485 | La stratégie « Paramètre de publicités pour les sites avec des publicités intrusives » a été configurée sur Activer. |
Internet Explorer 11 n’est pas présent sur Windows 11.
Le 15 juin 2022, Microsoft a mis hors service Internet Explorer 11. Pour une organization qui nécessite toujours des Explorer Internet pour la compatibilité héritée, le mode Internet Explorer (mode IE) dans Microsoft Edge offre une expérience de navigateur unique transparente. Les utilisateurs peuvent accéder aux applications héritées à partir de Microsoft Edge sans avoir à revenir à Internet Explorer 11.
Une fois que l’administrateur a configuré le mode Internet Explorer, les organisations peuvent désactiver Internet Explorer 11 en tant que navigateur autonome. Les icônes Internet Explorer 11 dans le menu Démarrer et dans la barre des tâches sont supprimées. Les utilisateurs sont redirigés vers Microsoft Edge lorsqu’ils tentent de lancer des raccourcis ou des associations de fichiers qui utilisent Internet Explorer 11 ou lorsqu’ils appellent directement le iexplore.exe binaire.
Pour configurer Internet Explorer à ouvrir directement dans Microsoft Edge pour des sites web spécifiques, configurez des stratégies de mode IE. Pour plus d’informations, consultez Configurer des stratégies en mode Internet Explorer.
Pour utiliser Intune pour désactiver Internet Explorer 11 en tant que navigateur autonome pour les appareils Windows 10 :
En outre, pour supprimer complètement Internet Explorer 11 :
Notes
Ce script désactive également .NET Framework 3.5 (inclut .NET 2.0 et 3.0) et Windows PowerShell 2.0.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1666 | La stratégie « Configurer la liste des sites en mode Entreprise » est configurée avec une liste de organization sites web spécifiques. Internet Explorer 11 a été supprimé par la stratégie « Désactiver Internet Explorer 11 en tant que navigateur autonome » configurée sur Activer ou supprimée à l’aide d’un script. |
Vous pouvez empêcher Microsoft Office de créer des processus enfants via une stratégie de sécurité de la réduction de la surface d’attaque (ASR), déployée via Intune.
Microsoft a mis à disposition une implémentation Intune de l’AcSC Windows Hardening Guidance sur GitHub. Larègle ASR pour empêcher Microsoft Office de créer des processus enfants est contenue dans ce guide.
Pour implémenter le blocage de la création de processus enfants :
Cette stratégie de sécurité du point de terminaison ASR contient la règle ASR spécifique : Empêcher toutes les applications Office de créer des processus enfants (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).
Notes
En important ce profil de règle ASR, Microsoft Office ne peut pas créer du contenu exécutable (3B576869-A4EC-4529-8536-B80A7769E899) et injecter du code dans un autre processus (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).
Notes
Cette stratégie de réduction de la surface d’attaque (ASR) configure chacune des règles ASR recommandées par l’ACSC en mode audit. Les règles ASR doivent être testées pour les problèmes de compatibilité dans n’importe quel environnement avant leur application.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1667 | La règle ASR « Empêcher toutes les applications Office de créer des processus enfants » a été activée. |
Vous pouvez empêcher Microsoft Office de créer des processus enfants (3B576869-A4EC-4529-8536-B80A7769E899) via une stratégie de sécurité de réduction de la surface d’attaque (ASR), déployée via Intune.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1668 | La règle ASR « Empêcher les applications Office de créer du contenu exécutable » a été activée. |
Vous pouvez empêcher Microsoft Office de créer des processus enfants (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) via une stratégie de sécurité du point de terminaison de réduction de la surface d’attaque (ASR), déployée via Intune.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1669 | La règle ASR « Bloquer les applications Office d’injecter du code dans d’autres processus » a été activée. |
Déployez le script PowerShell OfficeMacroHardening-PreventActivationofOLE.ps1pour importer les clés de Registre qui bloquent l’activation des packages OLE dans Excel, PowerPoint et Word.
Pour implémenter la prévention de l’activation des packages OLE :
Notes
Ce script PowerShell est spécifiquement destiné à Office 2016 et versions ultérieures. Un script pour empêcher l’activation d’OLE pour Office 2013 est fourni ici : OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.
Le script n’est pas signé. Si vous avez besoin d’une signature de script, consultez la documentation suivante pour signer le script afin qu’il puisse être exécuté sur vos appareils Windows : Méthodes de signature des scripts et remplacez le case activée Appliquer la signature de script par : Oui
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1542 | L’activation des packages OLE a été empêchée via un script. |
Microsoft Edge est configuré en tant que visionneuse PDF par défaut sur Windows 10 et Windows 11. L’affichage PDF peut être renforcé avec les stratégies incluses pour les conseils acsc ou de renforcement des fournisseurs pour les navigateurs web.
Si votre organization utilise Adobe Reader comme logiciel PDF par défaut, configurez la règle de réduction de la surface d’attaque appropriée pour empêcher Adobe Reader de créer des processus enfants, en procédant comme suit :
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1670 | La règle ASR « Empêcher Adobe Reader de créer des processus enfants » a été activée. |
Microsoft Edge est installé par défaut sur Windows 10 et Windows 11 et est le navigateur web recommandé. Microsoft Edge est à la fois le navigateur par défaut et la visionneuse PDF, sauf configuration contraire.
Microsoft et ACSC ont fourni des conseils et des stratégies spécifiques pour renforcer Microsoft Edge. Les deux ensembles d’instructions doivent être déployés simultanément.
Pour implémenter la base de référence de sécurité :
Pour implémenter des conseils de renforcement :
Notes
Microsoft a également publié Intune stratégies qui ont été mises en place pour aider les organisations à se conformer aux directives de renforcement des Windows 10 de l’Australian Cyber Security Centre (ACSC). Les stratégies de renforcement recommandées par ACSC pour Microsoft Edge sont également contenues dans ces stratégies.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1412, 1860 | - Déployer la base de référence de sécurité Microsoft Edge - Déployez les conseils de renforcement de Microsoft Edge ACSC. |
Microsoft Apps entreprise renforcée avec les paramètres recommandés pour renforcer Microsoft 365, Office 2021, Office 2019 et Office 2016 à partir de l’ACSC, dans le cadre du pilier Essential 8 Configurer les paramètres de macro Microsoft Office.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1859 | Déployez les instructions de renforcement de l’ACSC Office. |
Lorsque les stratégies fournies dans ce document sont déployées via Intune, les paramètres qu’elles contiennent sont appliqués et ne peuvent pas être modifiés par les utilisateurs standard.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1585 | Lorsque les stratégies fournies dans ce document sont déployées via Intune, les paramètres qu’elles contiennent sont appliqués et ne peuvent pas être modifiés par les utilisateurs standard. |
Le déploiement du script PowerShellUserApplicationHardening-RemoveFeatures.ps1 désactive la fonctionnalité .NET Framework 3.5 (inclut .NET 2.0 et 3.0), si elle est installée.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
ISM-1655 | .NET Framework 3.5 (inclut .NET 2.0 et 3.0) est désactivé ou supprimé. |
Le déploiement du script PowerShell UserApplicationHardening-RemoveFeatures.ps1 désactive la fonctionnalité Windows PowerShell 2.0, si elle est installée.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1612 | Windows PowerShell 2.0 est désactivé ou supprimé à l’aide du script fourni. |
Le mode de langage limité est activé dans le cadre du document de stratégie d’atténuation du contrôle d’application Essential Huit.
Microsoft Defender pour point de terminaison (MDE) peut être utilisé pour obtenir et conserver des journaux à partir de points de terminaison qui peuvent être utilisés pour la détection des événements de cybersécurité.
L’exécution du script peut être auditée en mode natif dans Microsoft Defender pour point de terminaison repérage avancé. Microsoft Defender pour point de terminaison fonctionnalité Advanced Hunting enregistre plusieurs événements Application Control, y compris l’ID d’événement 8029, qui signale les scripts bloqués ou appliqués pour s’exécuter en mode de langage contraint.
Vous pouvez également utiliser le transfert d’événements WDAC pour les surveiller dans une solution de supervision tierce.
Références:
Présentation des ID d’événement Application Control (Windows) - Sécurité | WindowsInterroger des événements de contrôle d’application avec la chasse avancée (Windows) - Sécurité Windows
Intune permet d’intégrer en toute transparence des appareils à MDE.
Comme pour les exécutions de scripts PowerShell bloquées, les événements de création de processus de ligne de commande qui sont des précurseurs pour les indications de compromission sont collectés lorsqu’un appareil est inscrit dans Defender pour point de terminaison. Les événements peuvent être affichés dans le portail Defender pour point de terminaison, sur la page de l’appareil sous Chronologie.
Pour implémenter des points de terminaison d’intégration dans MDE :
Une fois que les appareils sont intégrés à MDE, les exécutions PowerShell sont capturées pour être examinées et des actions peuvent être prises si nécessaire. Pour plus d’informations, consultez Effectuer des actions de réponse sur un appareil dans Microsoft Defender pour point de terminaison.
Contrôle ISM Sep 2024 | Atténuation |
---|---|
1664, 1665, 1405 | Les ID d’événement Application Control sont capturés par Defender pour point de terminaison lorsque les appareils sont inscrits dans Defender pour point de terminaison. |
1899 | Les événements de création de processus de ligne de commande qui sont des précurseurs pour les indications de compromission sont capturés par Defender pour point de terminaison lorsque les appareils sont inscrits dans Defender pour point de terminaison. |
Événements
Relevez le défi Microsoft Learn
19 nov., 23 h - 10 janv., 23 h
Ignite Edition - Créez des compétences dans les produits de sécurité Microsoft et gagnez un badge numérique d’ici le 10 janvier !
S’inscrire maintenant