Configurer des règles et des exclusions de réduction de la surface d’attaque (ASR)

  • S’applique à: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

Les règles de réduction de la surface d’attaque (ASR) ciblent les comportements logiciels à risque sur les appareils Windows que les attaquants exploitent généralement par le biais de programmes malveillants (par exemple, le lancement de scripts qui téléchargent des fichiers, l’exécution de scripts obfusqués et l’injection de code dans d’autres processus). Cet article explique comment activer et configurer des règles ASR.

Pour de meilleurs résultats, utilisez des solutions de gestion au niveau de l’entreprise comme Microsoft Intune ou Microsoft Configuration Manager pour gérer les règles ASR. Les paramètres de règle ASR de Intune ou de Configuration Manager remplacent tous les paramètres en conflit de la stratégie de groupe ou de PowerShell au démarrage.

Configuration requise

Pour plus d’informations, consultez Configuration requise pour les règles ASR.

Configurer des règles ASR dans Microsoft Intune

Microsoft Intune est l’outil recommandé pour configurer et distribuer des stratégies de règle ASR aux appareils. Nécessite Microsoft Intune Plan 1 (inclus dans les abonnements comme Microsoft 365 E3 ou disponible en tant que module complémentaire autonome).

Dans Intune, les stratégies de sécurité de point de terminaison sont la méthode recommandée pour déployer des règles ASR, bien que d’autres méthodes soient également disponibles dans Intune comme décrit dans les sous-sections suivantes.

Configurer des règles et des exclusions ASR dans Intune à l’aide de stratégies de sécurité de point de terminaison

Pour configurer des règles ASR à l’aide d’une stratégie de réduction de la surface d’attaque de sécurité de point de terminaison Microsoft Intune, consultez Créer une stratégie de sécurité de point de terminaison (ouvre un nouvel onglet dans la documentation Intune). Lors de la création de la stratégie, utilisez les paramètres suivants :

Importante

Microsoft Defender pour point de terminaison gestion prend uniquement en charge les objets d’appareil. Le ciblage des utilisateurs n’est pas pris en charge. Affectez la stratégie à Microsoft Entra groupes d’appareils, et non à des groupes d’utilisateurs.

  • Type de stratégie : Réduction de la surface d’attaque
  • Plateforme : Windows
  • Profil : Règles de réduction de la surface d’attaque
  • Paramètres de configuration :

    • Réduction de la surface d’attaque : en règle générale, vous pouvez activer les règles de protection standard en mode Bloquer ou Avertir sans test. Vous devez tester d’autres règles ASR en mode Audit avant de les basculer vers le mode Bloquer ou Avertir . Pour plus d’informations, consultez le guide de déploiement des règles ASR.

      Une fois que vous avez défini le mode de règle sur Audit, Bloquer ou Avertir, une section ASR uniquement par exclusions de règle s’affiche, où vous pouvez spécifier des exclusions qui s’appliquent uniquement à cette règle.

    • Exclusions de réduction de la surface d’attaque uniquement : utilisez cette section pour spécifier les exclusions qui s’appliquent à toutes les règles ASR.

      Pour spécifier des exclusions par règle ASR ou des exclusions de règles ASR globales, utilisez l’une des méthodes suivantes :

      • Sélectionnez Ajouter. Dans la zone qui s’affiche, entrez le chemin ou le chemin d’accès et le nom de fichier à exclure. Par exemple :

        • C:\folder
        • %ProgramFiles%\folder\file.exe C:\path

      • Sélectionnez Importer pour importer un fichier CSV qui contient les noms des fichiers et dossiers à exclure. Le fichier CSV utilise le format suivant :

        AttackSurfaceReductionOnlyExclusions
"C:\folder"
"%ProgramFiles%\folder\file.exe"
"C:\path"
...

        Conseil

        Les guillemets doubles autour des valeurs sont facultatifs et sont ignorés (ne sont pas utilisés dans les valeurs) si vous les incluez. N’utilisez pas de guillemets simples autour des valeurs.

      Pour plus d’informations sur les exclusions, consultez Exclusions de fichiers et de dossiers pour les règles ASR.

    • Activer l’accès contrôlé aux dossiers, les dossiers protégés par accès contrôlé aux dossiers et les applications autorisées d’accès contrôlé aux dossiers : pour plus d’informations, consultez Protéger les dossiers importants avec un accès contrôlé aux dossiers.

Configurer des règles ASR dans Intune à l’aide de profils personnalisés avec des OMA-URIs et des fournisseurs de services cloud

Bien que des stratégies de sécurité de point de terminaison soient recommandées, vous pouvez également configurer des règles ASR dans Intune à l’aide de profils personnalisés qui contiennent des profils OMA-URI (Open Mobile Alliance – Uniform Resource) à l’aide d’un fournisseur de services de configuration de stratégie Windows (CSP).

Pour obtenir des informations générales sur OMA-URIs dans Intune, consultez Déployer OMA-URIs pour cibler un fournisseur de solutions cloud via Intune et une comparaison avec l’environnement local.

  1. Dans le centre d’administration Microsoft Intune à l’adresse https://intune.microsoft.com, sélectionnez Appareils>Gérer la configuration des appareils>. Ou, pour accéder directement aux appareils | Page de configuration , utilisez https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. Sous l’onglet Stratégies des appareils | Page De configuration , sélectionnez Créer une>stratégie.

    Capture d’écran de l’onglet Stratégies de la page Appareils - Configuration dans le centre d’administration Microsoft Intune avec l’option Créer sélectionnée.

  3. Dans le menu volant Créer un profil qui s’ouvre, configurez les paramètres suivants :

    • Plateforme : sélectionnez Windows 10 et ultérieur.
    • Type de profil : sélectionnez Modèles.
      • Dans la section Nom du modèle qui s’affiche, sélectionnez Personnalisé.

    Sélectionnez Créer.

    Capture d’écran des attributs du profil de règle dans le portail du centre d’administration Microsoft Intune.

  4. L’Assistant Modèle personnalisé s’ouvre. Sous l’onglet Informations de base , configurez les paramètres suivants :

    • Nom : entrez un nom unique pour le modèle.
    • Description : entrez une description facultative.

    Lorsque vous avez terminé d’accéder à l’onglet Informations de base , sélectionnez Suivant.

  5. Sous l’onglet Paramètres de configuration , sélectionnez Ajouter.

    Capture d’écran montrant les paramètres de configuration dans le portail du centre d’administration Microsoft Intune.

    Dans le menu volant Ajouter une ligne qui s’ouvre, configurez les paramètres suivants :

    • Nom : entrez un nom unique pour la règle.

    • Description : entrez une brève description facultative.

    • OMA-URI : entrez la valeur de l’appareil à partir du csp AttackSurfaceReductionRules : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

      • Type de données : sélectionnez Chaîne.

      • Valeur : utilisez la syntaxe suivante :

        <RuleGuid1>=<ModeForRuleGuid1>
<RuleGuid2>=<ModeForRuleGuid2>
...
<RuleGuidN>=<ModeForRuleGuidN>
        • Les valeurs GUID des règles ASR sont disponibles dans règles ASR.
        • Les modes de règle suivants sont disponibles :
          • 0: Désactivé
          • 1:Bloc
          • 2:Audit
          • 5: non configuré
          • 6:Avertir

        Par exemple :

        75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
3b576869-a4ec-4529-8536-b80a7769e899=1
d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
d3e037e1-3eb8-44c8-a917-57927947596d=1
5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

      Capture d’écran du menu volant Ajouter une ligne de l’onglet Paramètres de configuration de la configuration de l’URI OMA dans le centre d’administration Microsoft Intune.

      Lorsque vous avez terminé dans le menu volant Ajouter une ligne , sélectionnez Enregistrer.

      Conseil

      À ce stade, vous pouvez également ajouter des exclusions de règle ASR globales au profil personnalisé au lieu de créer un profil distinct uniquement pour les exclusions. Pour obtenir des instructions, consultez la sous-section suivante Configurer les exclusions de règles ASR globales dans Intune à l’aide de profils personnalisés avec OMA-URIs et csp.

    De retour sous l’onglet Paramètres de configuration , sélectionnez Suivant.

  6. Sous l’onglet Affectations , configurez les paramètres suivants :

    • Section Groupes inclus : sélectionnez l’une des options suivantes :
      • Ajouter des groupes : sélectionnez un ou plusieurs groupes à inclure.
      • Ajouter tous les utilisateurs
      • Ajouter tous les appareils
    • Section Groupes exclus : sélectionnez Ajouter des groupes pour spécifier les groupes à exclure.

    Lorsque vous avez terminé d’accéder à l’onglet Affectations , sélectionnez Suivant.

    Capture d’écran de l’onglet Affectations de la configuration de l’URI OMA dans le centre d’administration Microsoft Intune.

  7. Sous l’onglet Règles d’applicabilité , sélectionnez Suivant.

    Vous pouvez utiliser l’édition du système d’exploitation et les propriétés de version du système d’exploitation pour définir les types d’appareils qui doivent ou non obtenir le profil.

    Règles d’applicabilité dans le portail du centre d’administration Microsoft Intune.

  8. Sous l’onglet Vérifier + créer , passez en revue les paramètres. Vous pouvez utiliser Précédent ou sélectionner un onglet pour revenir en arrière et apporter des modifications.

    Lorsque vous êtes prêt à créer le profil, sélectionnez Créer sous l’onglet Vérifier + créer .

    Capture d’écran montrant l’onglet Vérifier et créer dans le portail du centre d’administration Microsoft Intune.

Vous revenez immédiatement à l’onglet Stratégies des appareils | Page de configuration . Vous devrez peut-être sélectionner Actualiser pour voir la stratégie.

Les règles ASR sont actives en quelques minutes.

Configurer des exclusions de règles ASR globales dans Intune à l’aide de profils personnalisés avec OMA-URIs et csp

Les étapes de configuration des exclusions de règle ASR globales dans Intune à l’aide d’un profil personnalisé sont très similaires aux étapes de règle ASR de la section précédente. La seule différence réside dans l’étape 5 (onglet Paramètres de configuration ) où vous entrez les informations relatives aux exceptions de règle ASR :

Sous l’onglet Paramètres de configuration , sélectionnez Ajouter. Dans le menu volant Ajouter une ligne qui s’ouvre, configurez les paramètres suivants :

  • Nom : entrez un nom unique pour la règle.
    • Description : entrez une brève description facultative.
    • OMA-URI : entrez la valeur de l’appareil à partir du csp AttackSurfaceReductionOnlyExclusions : ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

      • Type de données : sélectionnez Chaîne.

      • Valeur : utilisez la syntaxe suivante :

        <PathOrPathAndFilename1>
<PathOrPathAndFilename1>
...
<PathOrPathAndFilenameN>

        Par exemple :

        C:\folder
%ProgramFiles%\folder\file.exe
C:\path

Lorsque vous avez terminé dans le menu volant Ajouter une ligne , sélectionnez Enregistrer.

De retour sous l’onglet Paramètres de configuration , sélectionnez Suivant.

Le reste des étapes est identique à la configuration des règles ASR.

Configurer des règles ASR dans n’importe quelle solution MDM à l’aide du csp Policy

Le fournisseur de services de configuration de stratégie (CSP) permet aux organisations d’entreprise de configurer des stratégies sur des appareils Windows à l’aide de n’importe quelle solution de gestion des appareils mobiles (GPM), pas seulement Microsoft Intune. Pour plus d’informations, consultez Fournisseur de services de configuration de stratégie.

Vous pouvez configurer des règles ASR à l’aide du csp AttackSurfaceReductionRules avec les paramètres suivants :

Chemin d’accès OMA-URI : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Valeur : <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

  • Les valeurs GUID des règles ASR sont disponibles dans règles ASR
  • Les modes de règle suivants sont disponibles :
    • 0: Désactivé
    • 1:Bloc
    • 2:Audit
    • 5: non configuré
    • 6:Avertir

Par exemple :

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Remarque

Veillez à entrer des valeurs OMA-URI sans espaces.

Configurer des exclusions de règles ASR globales dans n’importe quelle solution GPM à l’aide du csp Policy

Vous pouvez utiliser le fournisseur csp Policy pour configurer le chemin d’accès et les exclusions de chemin d’accès et de nom de fichier de la règle ASR globale à l’aide du fournisseur de services de configuration AttackSurfaceReductionOnlyExclusions avec les paramètres suivants :

Chemin d’accès OMA-URI : ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Valeur : <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Par exemple, C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Configurer des règles ASR et des exclusions de règles ASR globales dans Microsoft Configuration Manager

Pour obtenir des instructions, consultez les informations sur la réduction de la surface d’attaque dans Créer et déployer une stratégie Exploit Guard.

Avertissement

Il existe un problème connu lié à l’applicabilité de la réduction de la surface d’attaque sur les versions du système d’exploitation serveur, qui est marqué comme conforme sans aucune application réelle. Actuellement, il n’existe aucune date de publication définie pour la correction de ce problème.

Importante

Si vous utilisez « Désactiver la fusion d’administration » défini true sur sur les appareils et que vous utilisez l’un des outils/méthodes suivants, l’ajout d’exclusions de règles ASR par règle ou d’exclusions de règles ASR locales ne s’applique pas :

  • Onglet Stratégies Windows de Gestion des paramètres de sécurité de Defender pour point de terminaison (Désactiver la fusion Administration locale) de la page Stratégies de sécurité des points de terminaison dans le portail Microsoft Defender à l’adressehttps://security.microsoft.com/policy-inventory?osPlatform=Windows
  • Microsoft Intune (Désactiver la fusion Administration locale)
  • Le fournisseur de services de configuration Defender (DisableLocalAdminMerge)
  • stratégie de groupe (Configurer le comportement de fusion de l’administrateur local pour les listes)

Pour modifier ce comportement, vous devez remplacer « Désactiver la fusion administrateur » par false.

Configurer des règles et des exclusions ASR dans la stratégie de groupe

Avertissement

Si vous gérez vos ordinateurs et appareils avec des Intune, des Microsoft Configuration Manager ou d’autres logiciels de gestion au niveau de l’entreprise, le logiciel de gestion remplace tous les paramètres de stratégie de groupe en conflit au démarrage.

  1. Dans stratégie de groupe centralisée, ouvrez la console de gestion stratégie de groupe (GPMC) sur votre ordinateur de gestion stratégie de groupe.

  2. Dans l’arborescence de la console GPMC, développez stratégie de groupe Objets dans la forêt et le domaine contenant l’objet de stratégie de groupe que vous souhaitez modifier.

  3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe, puis sélectionnez Modifier.

  4. Dans l’Éditeur de gestion stratégie de groupe, accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>Microsoft Defender Réduction de la surface d’attaque Exploit Guard>.

  5. Dans le volet d’informations de réduction de la surface d’attaque, les paramètres disponibles sont les suivants :

    Pour ouvrir et configurer un paramètre de règle ASR, utilisez l’une des méthodes suivantes :

    • Double-cliquez sur le paramètre.
    • Cliquez avec le bouton droit sur le paramètre, puis sélectionnez Modifier
    • Sélectionnez le paramètre, puis sélectionnez Action>Modifier.

Conseil

Vous pouvez également configurer stratégie de groupe localement sur des appareils individuels à l’aide de l’éditeur de stratégie de groupe local (gpedit.msc). Accédez au même chemin d’accès : Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus> Microsoft Defender Réduction de lasurface d’attaqueExploit Guard>.

Les paramètres disponibles sont décrits dans les sous-sections suivantes.

Importante

Les guillemets, les espaces de début, les espaces de fin et les caractères supplémentaires ne sont pris en charge dans aucune des valeurs liées aux règles ASR de la stratégie de groupe.

les chemins d’accès stratégie de groupe avant Windows 10 version 2004 (mai 2020) peuvent utiliser Windows Defender Antivirus au lieu de Microsoft Defender Antivirus. Les deux noms font référence au même emplacement de stratégie.

Configurer des règles ASR dans la stratégie de groupe

  1. Dans le volet d’informations de réduction de la surface d’attaque, ouvrez le paramètre Configurer les règles de réduction de la surface d’attaque .

  2. Dans la fenêtre de paramètre qui s’ouvre, configurez les options suivantes :

    1. Sélectionnez Activé.
    2. Définissez l’état de chaque règle ASR : sélectionnez Afficher....

  3. Dans la boîte de dialogue Définir l’état de chaque règle ASR qui s’ouvre, configurez les paramètres suivants :

    Capture d’écran de Configurer les règles de réduction de la surface d’attaque dans stratégie de groupe.

    Pour plus d’informations, consultez Modes de règle ASR.

    Répétez cette étape autant de fois que nécessaire. Lorsque vous avez terminé, sélectionnez OK.

Configurer des exclusions de règles ASR globales dans la stratégie de groupe

Les chemins d’accès ou les noms de fichiers avec des chemins d’accès que vous spécifiez sont utilisés comme exclusions pour toutes les règles ASR.

  1. Dans le volet d’informations de Réduction de la surface d’attaque, ouvrez le paramètre Exclure les fichiers et les chemins d’accès des règles de réduction de la surface d’attaque .

  2. Dans la fenêtre de paramètre qui s’ouvre, configurez les options suivantes :

    1. Sélectionnez Activé.
    2. Exclusions des règles ASR : sélectionnez Afficher....

  3. Dans la boîte de dialogue Exclusions des règles ASR qui s’ouvre, configurez les paramètres suivants :

    • Nom de la valeur : entrez le chemin ou le chemin d’accès et le nom de fichier à exclure de toutes les règles ASR.
    • Valeur : entrez 0.

    Les types de noms de valeurs suivants sont pris en charge :

    • Pour exclure tous les fichiers d’un dossier, entrez le chemin complet du dossier. Par exemple : C:\Data\Test.
    • Pour exclure un fichier spécifique dans un dossier spécifique (recommandé), entrez le chemin d’accès et le nom de fichier. Par exemple : C:\Data\Test\test.exe.

    Répétez cette étape autant de fois que nécessaire. Lorsque vous avez terminé, sélectionnez OK.

Configurer des exclusions de règle par ASR dans la stratégie de groupe

Les chemins d’accès ou les noms de fichiers avec des chemins d’accès que vous spécifiez sont utilisés comme exclusions pour des règles ASR spécifiques.

Remarque

Si le paramètre Appliquer une liste d’exclusions à des règles de réduction de la surface d’attaque (ASR) spécifiques n’est pas disponible dans votre console GPMC, vous avez besoin de la version 24H2 ou ultérieure des fichiers de modèles d’administration dans votre magasin central.

  1. Dans le volet d’informations de réduction de la surface d’attaque, ouvrez le paramètre Appliquer une liste d’exclusions à des règles de réduction de la surface d’attaque (ASR) spécifiques .

  2. Dans la fenêtre de paramètre qui s’ouvre, configurez les options suivantes :

    1. Sélectionnez Activé.
    2. Exclusions pour chaque règle ASR : sélectionnez Afficher....

  3. Dans la boîte de dialogue Exclusions pour chaque règle ASR qui s’ouvre, configurez les paramètres suivants :

    • Nom de la valeur : entrez la valeur GUID de la règle ASR.
    • Valeur : entrez une ou plusieurs exclusions pour la règle ASR. Utilisez la syntaxe Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Par exemple : C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

    Répétez cette étape autant de fois que nécessaire. Lorsque vous avez terminé, sélectionnez OK.

Configurer des règles ASR dans PowerShell

Avertissement

Si vous gérez vos ordinateurs et appareils avec Intune, Configuration Manager ou une autre plateforme de gestion au niveau de l’entreprise, le logiciel de gestion remplace tous les paramètres PowerShell en conflit au démarrage.

Sur l’appareil cible, utilisez la syntaxe de commande PowerShell suivante dans une session PowerShell avec élévation de privilèges (une fenêtre PowerShell que vous avez ouverte en sélectionnant Exécuter en tant qu’administrateur) :

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

  • Set-MpPreferenceremplace toutes les règles existantes et leurs modes correspondants par les valeurs que vous spécifiez. Pour afficher la liste des valeurs existantes, exécutez la commande suivante :

    $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize

    Pour ajouter de nouvelles règles et leurs modes correspondants sans affecter les valeurs existantes, utilisez l’applet de commande Add-MpPreference . Pour supprimer les règles spécifiées et leurs modes correspondants sans affecter d’autres valeurs existantes, utilisez l’applet de commande Remove-MpPreference . La syntaxe de commande est identique pour les trois applets de commande.

  • Les valeurs GUID des règles ASR sont disponibles dans règles ASR.

  • Les valeurs valides pour le paramètre AttackSurfaceReductionRules_Actions sont les suivantes :

    • 0 ou Disabled
    • 1 ou Enabled (mode Bloquer )
    • 2ou ou AuditModeAudit
    • 5 ou NotConfigured
    • 6 ou Warn

L’exemple suivant configure les règles ASR spécifiées sur l’appareil :

  • Les deux premières règles sont activées en mode Bloc .
  • La troisième règle est désactivée.
  • La dernière règle est activée en mode Audit .
Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

Configurer des exclusions de règles ASR globales dans PowerShell

Sur l’appareil cible, utilisez la syntaxe de commande PowerShell suivante dans une session PowerShell avec élévation de privilèges :

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

  • Set-MpPreferenceremplace toutes les exclusions de règle ASR existantes par les valeurs que vous spécifiez. Pour afficher la liste des valeurs existantes, exécutez la commande suivante :

    (Get-MpPreference).AttackSurfaceReductionOnlyExclusions

    Pour ajouter de nouvelles exceptions sans affecter les valeurs existantes, utilisez l’applet de commande Add-MpPreference . Pour supprimer les exceptions spécifiées sans affecter d’autres valeurs, utilisez l’applet de commande Remove-MpPreference . La syntaxe de commande est identique pour les trois applets de commande.

    L’exemple suivant configure le chemin et le chemin d’accès spécifiés avec nom de fichier comme exclusions pour toutes les règles ASR sur l’appareil :

    Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"

Contenu connexe

  • Last updated on