Vue d’ensemble des règles de réduction de la surface d’attaque (ASR)

  • S’applique à: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Conseil

En complément de cet article, consultez notre guide de configuration de l’analyseur de sécurité pour passer en revue les meilleures pratiques et apprendre à fortifier les défenses, à améliorer la conformité et à naviguer dans le paysage de la cybersécurité en toute confiance. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Security Analyzer dans le Centre d’administration Microsoft 365.

La surface d’attaque de votre organization inclut tous les endroits où un attaquant peut accéder. Pour plus d’informations, consultez Réduction de la surface d’attaque dans Microsoft Defender pour point de terminaison.

Les règles de réduction de la surface d’attaque (ASR) dans Microsoft Defender Antivirus ciblent les comportements logiciels à risque sur les appareils Windows que les attaquants exploitent généralement par le biais de programmes malveillants. Par exemple :

  • Lancement de fichiers exécutables et de scripts qui tentent de télécharger ou d’exécuter des fichiers.
  • Exécution de scripts obfusqués ou non approuvés.
  • Création de processus enfants à partir d’applications potentiellement vulnérables (par exemple, les applications Office).
  • Injection de code dans d’autres processus.

Bien que les applications légitimes puissent également effectuer ces opérations, les attaquants utilisent généralement des programmes malveillants qui se comportent de la même façon.

Consultez la série d’articles suivante pour planifier, tester, implémenter et surveiller les règles ASR :

Conseil

Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :

Règles ASR

Les règles ASR sont regroupées dans les catégories suivantes :

Les règles ASR disponibles, leurs valeurs GUID correspondantes et leurs catégories sont décrites dans le tableau suivant :

  • Les liens dans les noms de règle vous permettent d’accéder à des descriptions détaillées des règles dans l’article de référence sur les règles ASR .

  • Outre les stratégies de sécurité de point de terminaison dans Microsoft Intune et Microsoft Configuration Manager, toutes les autres méthodes de configuration de règle ASR identifient les règles par valeur GUID.

    Toutes les différences de nom de règle ASR entre Microsoft Intune et Microsoft Configuration Manager sont décrites dans le tableau.

    Conseil

    Microsoft Configuration Manager était précédemment connu sous d’autres noms :

    • Microsoft System Center Configuration Manager : version 1511 à 1906 (novembre 2015 à juillet 2019)
    • Microsoft Endpoint Configuration Manager : version 1910 à 2211 (décembre 2019 à décembre 2022)
    • Microsoft Configuration Manager : version 2303 (avril 2023) ou ultérieure

    Pour plus d’informations sur la prise en charge et la mise à jour, consultez Mises à jour et maintenance pour Configuration Manager.

Nom de la règle dans Microsoft Intune Nom de la règle dans Microsoft Configuration Manager GUID Catégorie
règles de protection Standard
Bloquer les abus de pilotes signés vulnérables exploités (appareil) s/o 56a863a9-875e-4185-98a7-b882c64b5ce5 Autre erreur
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows Même 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Mouvement latéral & vol d’informations d’identification
Bloquer la persistance via un abonnement aux événements WMI s/o e6db77e5-3df2-4cf1-b95a-636979351e5b Mouvement latéral & vol d’informations d’identification
Autres règles ASR
Empêcher Adobe Reader de créer des processus enfants s/o 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Applications de productivité
Empêcher toutes les applications Office de créer des processus enfants Empêcher l’application Office de créer des processus enfants d4f940ab-401b-4efc-aadc-ad5f3c50688a Applications de productivité
Bloquer le contenu exécutable du client de messagerie et de la messagerie web Même be9ba2d9-53ea-4cdc-84e5-9b1eeeeee46550 E-mail
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence, d’âge ou de liste de confiance 01443614-cd74-433a-b99e-2ecdc07bfc25 Menaces polymorphes
Bloquer l’exécution de scripts potentiellement obfusqués Même 5beb7efe-fd9a-4556-801d-275e5ffc04cc Script
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé Même d3e037e1-3eb8-44c8-a917-57927947596d Script
Empêcher les applications Office de créer du contenu exécutable Même 3b576869-a4ec-4529-8536-b80a7769e899 Applications de productivité
Empêcher les applications Office d’injecter du code dans d’autres processus Même 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Applications de productivité
Empêcher l’application de communication Office de créer des processus enfants s/o 26190899-1602-49e8-8b27-eb1d0a1ce869 Email, applications de productivité
Bloquer les créations de processus provenant des commandes PSExec et WMI s/o d1e49aac-8f56-4280-b9ba-993a6d77406c Mouvement latéral & vol d’informations d’identification
Bloquer le redémarrage de l’ordinateur en mode sans échec s/o 33ddedf1-c6e0-47cb-833e-de6133960387 Autre erreur
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB Même b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Menaces polymorphes
Bloquer l’utilisation des outils système copiés ou usurpés d’identité s/o c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Autre erreur
Bloquer la création de webshell pour les serveurs s/o a8f5898e-1dc8-49a9-9878-85004b8a61e6 Autre erreur
Bloquer les appels d’API Win32 à partir de macros Office Même 92e97fa1-2edf-4476-bdd6-9dd0b4ddddc7b Applications de productivité
Utiliser une protection avancée contre les rançongiciels Même c1db55ab-c21a-4637-bb3f-a12568109d35 Menaces polymorphes

Configuration requise pour les règles ASR

Les règles ASR nécessitent Microsoft Defender Antivirus comme application antivirus principale sur les appareils Windows :

  • Microsoft Defender Antivirus doit être activé et en mode Actif. Plus précisément, Microsoft Defender antivirus ne peut pas être dans l’un des modes suivants :

    • Passif
    • Mode passif avec détection et réponse de point de terminaison (EDR) en mode bloc
    • Analyse périodique limitée (LPS)
    • Désactivé

    Pour plus d’informations sur les modes dans Microsoft Defender Antivirus, consultez Comment Microsoft Defender Antivirus affecte les fonctionnalités de Defender pour point de terminaison.

  • La protection en temps réel dans Microsoft Defender Antivirus doit être activée.

  • La protection fournie par le cloud (également appelée Microsoft Advanced Protection Service ou MAPS) est essentielle à la fonctionnalité de règle ASR. La protection cloud améliore la protection en temps réel standard et est un composant essentiel de la prévention des violations des programmes malveillants. Certaines règles ASR ont spécifiquement des exigences cloud-delivery Protection pour les alertes de détection et de réponse de point de terminaison (EDR) dans Defender pour point de terminaison et les fenêtres contextuelles de notification utilisateur. Pour plus d’informations, consultez Alertes et notifications des actions de règle ASR.

    Pour la même raison, votre environnement doit autoriser les connexions au service cloud Microsoft Defender Antivirus.

  • Microsoft Defender versions des composants antivirus ne doivent pas avoir plus de deux versions antérieures à la version la plus disponible :

    • Version de mise à jour de la plateforme : mise à jour mensuelle.
    • Version de MEngine : mise à jour mensuelle.
    • Veille de sécurité : Microsoft met continuellement à jour le renseignement de sécurité (également appelé définitions et signatures) pour répondre aux menaces les plus récentes et affiner la logique de détection.

    Le fait de conserver Microsoft Defender versions actuelles de l’antivirus permet de réduire les faux positifs des règles ASR et d’améliorer Microsoft Defender fonctionnalités de détection de l’antivirus. Pour plus d’informations sur les versions actuelles et sur la mise à jour des différents composants antivirus Microsoft Defender, consultez Microsoft Defender prise en charge de la plateforme antivirus.

  • Bien que les règles ASR ne nécessitent pas de Microsoft 365 E5, Microsoft recommande les fonctionnalités de sécurité d’E5 ou d’abonnements équivalents pour tirer parti des fonctionnalités de gestion avancées suivantes :

    • Supervision, analytique et flux de travail dans Defender pour point de terminaison.
    • Fonctionnalités de création de rapports et de configuration dans le portail Microsoft Defender XDR.

    Les fonctionnalités de gestion avancées ne sont pas disponibles avec d’autres licences (par exemple, Windows Professionnel ou Microsoft 365 E3). Toutefois, vous pouvez développer vos propres outils de supervision et de création de rapports en plus des événements de règle ASR générés dans Windows observateur d'événements sur chaque appareil (par exemple, transfert d’événements Windows).

    Pour en savoir plus sur les licences Windows, consultez Licences Windows et obtenez le Guide de référence sur les licences en volume Microsoft.

Systèmes d’exploitation pris en charge pour les règles ASR

Les règles ASR sont une fonctionnalité antivirus Microsoft Defender disponible sur n’importe quelle édition de Windows qui inclut Microsoft Defender Antivirus (par exemple, Windows 11 Famille). Vous pouvez configurer des règles ASR localement sur les appareils à l’aide de PowerShell ou de stratégie de groupe.

La gestion centralisée, la création de rapports et les alertes pour les règles ASR dans Microsoft Defender pour point de terminaison sont disponibles dans les éditions et versions suivantes de Windows :

  • Éditions Pro et Enterprise de Windows 10 ou version ultérieure.
  • Windows Server 2012 R2 ou ultérieure.
  • Azure Local (anciennement appelée Azure Stack HCI) version 23H2 ou ultérieure.

Pour plus d’informations sur la prise en charge du système d’exploitation, consultez Prise en charge du système d’exploitation pour les règles ASR.

Modes pour les règles ASR

Une règle ASR peut être dans l’un des modes suivants, comme décrit dans le tableau suivant :

Mode règle Code Description
Désactivé ou
Disabled		 0 La règle ASR est explicitement désactivée.

Cette valeur peut provoquer des conflits lorsque le même appareil se voit attribuer la même règle ASR dans différents modes par différentes stratégies.
Bloquer ou
Activated		 1 La règle ASR est activée en mode Bloquer .
Auditer ou
Mode Audit		 2 La règle ASR est activée comme si en mode Bloc , mais sans action.

Les détections des règles ASR en mode Audit sont disponibles aux emplacements suivants :
Non configuré 5 La règle ASR n’est pas explicitement activée.

Cette valeur est fonctionnellement équivalente à Disabled ou Off, mais sans risque de conflits de règles.
Avertir ou
Warning		 6 La règle ASR est activée comme si en mode Bloc , mais les utilisateurs peuvent sélectionner Débloquer dans la fenêtre contextuelle de notification d’avertissement pour contourner le bloc pendant 24 heures. Après 24 heures, l’utilisateur doit à nouveau contourner le bloc.

Le mode Avertir est pris en charge dans Windows 10 version 1809 (novembre 2018) ou ultérieure. Les règles ASR en mode Avertissement sur les versions non prises en charge de Windows sont en fait en mode Bloc (la déviation n’est pas disponible).

Le mode Avertir n’est pas disponible dans Microsoft Configuration Manager.

Le mode Avertir présente les exigences de version de l’antivirus Microsoft Defender suivantes :
  • Version de la plateforme : 4.18.2008.9 (août 2020) ou ultérieure.
  • Version du moteur : 1.1.17400.5 (août 2020) ou ultérieure.

Les règles ASR suivantes ne prennent pas en charge le mode d’avertissement :

Microsoft recommande le mode Bloc pour les règles de protection standard et le test initial en mode Audit pour les autres règles ASR avant de les activer en mode Bloquer ou Avertir .

De nombreuses applications métier sont écrites avec des problèmes de sécurité limités, et elles peuvent agir d’une manière qui semble similaire aux programmes malveillants. En surveillant les données des règles ASR en mode Audit et en ajoutant des exclusions pour les applications requises , vous pouvez déployer des règles ASR sans réduire la productivité.

Avant d’activer les règles ASR en mode Bloc, évaluez leurs effets en mode Audit et recommandations de sécurité. Pour plus d’informations, consultez Tester les règles ASR.

Méthodes de déploiement et de configuration pour les règles ASR

Microsoft Defender pour point de terminaison prend en charge les règles ASR, mais n’inclut pas de méthode intégrée pour déployer des paramètres de règle ASR sur les appareils. Au lieu de cela, vous utilisez un outil de déploiement ou de gestion distinct pour créer et distribuer des stratégies de règle ASR aux appareils. Toutes les méthodes de déploiement ne prennent pas en charge toutes les règles ASR. Pour plus d’informations sur chaque règle, consultez Prise en charge des méthodes de déploiement pour les règles ASR.

Le tableau suivant récapitule les méthodes disponibles. Pour obtenir des instructions de configuration détaillées, consultez Configurer des règles et des exclusions de réduction de la surface d’attaque (ASR).

Méthode Description
Microsoft Intune stratégies de sécurité de point de terminaison Méthode recommandée pour configurer et distribuer des stratégies de règle ASR aux appareils. Nécessite Microsoft Intune Plan 1 (inclus dans les abonnements comme Microsoft 365 E3 ou disponible en tant que module complémentaire autonome).
Microsoft Intune des profils personnalisés avec OMA-URIs Autre méthode de configuration des règles ASR dans Intune à l’aide de profils OMA-URI (Open Mobile Alliance – Uniform Resource).
Toute solution MDM utilisant le fournisseur csp Policy Utilisez le fournisseur de services de configuration de stratégie Windows (CSP) avec n’importe quelle solution GPM.
Microsoft Configuration Manager Utilise la stratégie antivirus Microsoft Defender dans l’espace de travail Ressources et conformité.
Stratégie de groupe Utilisez des stratégie de groupe centralisées pour configurer et distribuer des règles ASR sur des appareils joints à un domaine. Vous pouvez également configurer stratégie de groupe localement sur des appareils individuels.
PowerShell Configurez des règles ASR localement sur des appareils individuels. PowerShell prend en charge toutes les règles ASR.

Exclusions de fichiers et de dossiers pour les règles ASR

Importante

L’exclusion de fichiers ou de dossiers peut réduire considérablement la protection des règles ASR. Les fichiers exclus sont autorisés à s’exécuter et aucun rapport ou événement concernant le fichier n’est enregistré. Si les règles ASR détectent des fichiers qui ne doivent pas être détectés, utilisez le mode Audit pour tester la règle.

Vous pouvez exclure des fichiers et dossiers spécifiques de l’évaluation par les règles ASR. Même si une règle ASR détermine que le fichier ou le dossier contient un comportement malveillant, elle n’empêche pas l’exécution des fichiers exclus.

Vous pouvez utiliser les méthodes suivantes pour exclure des fichiers et des dossiers des règles ASR :

  • Microsoft Defender Exclusions antivirus : toutes les règles ASR ne respectent pas ces exclusions. Pour plus d’informations sur les exclusions d’antivirus Microsoft Defender, consultez Configurer des exclusions personnalisées pour Microsoft Defender Antivirus.

    Conseil

    Toutes les règles ASR respectent les exclusions de processus dans Microsoft Defender Antivirus.

  • Exclusions de règles ASR globales : ces exclusions s’appliquent à toutes les règles ASR. Toutes les méthodes de configuration des règles ASR prennent également en charge la configuration des exclusions de règles ASR globales.

  • Exclusions par règle ASR : affectez différentes exclusions de manière sélective à différentes règles ASR. Seules les méthodes de configuration de règle ASR suivantes prennent également en charge la configuration des exclusions par règle ASR :

  • Indicateurs de compromission (IoC) : la plupart des règles ASR respectent les ioC pour les fichiers bloqués et les certificats bloqués. Pour plus d’informations sur les ioC, consultez Vue d’ensemble des indicateurs dans Microsoft Defender pour point de terminaison.

L’application de différents types d’exclusions pour les règles ASR est résumée dans le tableau suivant :

Nom de la règle Honore le fichier MDAV et
exclusions de dossiers		 Honore l’ASR mondial
Exclusions		 Respecte la règle par ASR
Exclusions		 Honore les ioC pour
fichiers		 Honore les ioC pour
Certificats
règles de protection Standard
Bloquer les abus de pilotes signés vulnérables exploités (appareil) v v v v v
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows N v v N N
Bloquer la persistance via un abonnement aux événements WMI N v v N N
Autres règles ASR
Empêcher Adobe Reader de créer des processus enfants N v v v v
Empêcher toutes les applications Office de créer des processus enfants v v v v v
Bloquer le contenu exécutable du client de messagerie et de la messagerie web v v v v v
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance v v v v v
Bloquer l’exécution de scripts potentiellement obfusqués v v v v v
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé v v v v v
Empêcher les applications Office de créer du contenu exécutable N v v v v
Empêcher les applications Office d’injecter du code dans d’autres processus N v v N N
Empêcher l’application de communication Office de créer des processus enfants N v v v v
Bloquer les créations de processus provenant des commandes PSExec et WMI N v v v v
Bloquer le redémarrage de l’ordinateur en mode sans échec v v v v v
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB v v v v v
Bloquer l’utilisation des outils système copiés ou usurpés d’identité v v v v v
Bloquer la création de webshell pour les serveurs v v v v v
Bloquer les appels d’API Win32 à partir de macros Office v v v v N
Utiliser une protection avancée contre les rançongiciels v v v v v

Lorsque vous ajoutez des exclusions, gardez ces points à l’esprit :

  • Les chemins d’exclusion peuvent utiliser des variables d’environnement et des caractères génériques. Pour plus d’informations, consultez Utiliser des caractères génériques dans les listes d’exclusion de nom de fichier et de dossier ou d’extension.

    Conseil

    N’utilisez pas de variables d’environnement utilisateur comme caractères génériques dans les exclusions de dossier et de processus. Utilisez uniquement les types de variables d’environnement suivants comme caractères génériques :

    • Variables d’environnement système.
    • Variables d’environnement qui s’appliquent aux processus s’exécutant en tant que compte NT AUTHORITY\SYSTEM.

    Pour obtenir la liste des variables d’environnement système, consultez Variables d’environnement système.

    • Les caractères génériques ne peuvent pas définir une lettre de lecteur.
    • Pour exclure plusieurs dossiers dans un chemin d’accès, utilisez plusieurs instances de \*\ pour indiquer plusieurs dossiers imbriqués. Par exemple : c:\Folder\*\*\Test.
    • Microsoft Configuration Manager prend en charge les caractères génériques (* ou ?).
    • Pour exclure un fichier qui contient des caractères aléatoires (par exemple, de la génération automatisée de fichiers), utilisez ? le symbole . Par exemple : C:\Folder\fileversion?.docx.

  • Les exclusions s’appliquent uniquement au démarrage de l’application ou du service. Par exemple, si vous ajoutez une exclusion pour un service de mise à jour qui est déjà en cours d’exécution, le service de mise à jour continue de déclencher des détections de règles ASR jusqu’à ce que vous redémarrant le service.

Conflits de stratégie dans les règles ASR

Si deux stratégies de règle ASR différentes sont affectées au même appareil, des conflits potentiels peuvent se produire en fonction des éléments suivants :

  • Indique si les mêmes règles ASR sont affectées dans des modes différents.
  • Si la gestion des conflits est en place.
  • Indique si le résultat est une erreur.

Les règles ASR non conflictlicables n’entraînent pas d’erreurs. La première règle est appliquée et les règles de non-conflicence suivantes sont fusionnées dans la stratégie.

Si une solution de gestion des appareils mobiles (GPM) et stratégie de groupe appliquent différents paramètres de règle ASR au même appareil, les paramètres stratégie de groupe sont prioritaires.

Pour plus d’informations sur la façon dont les conflits de paramètres de règle ASR sont gérés pour les méthodes de déploiement disponibles dans Microsoft Intune, consultez Appareils gérés par Intune.

Notifications et alertes pour les règles ASR

Lorsqu’une règle ASR en mode Bloquer ou Avertir est déclenchée sur un appareil, une notification s’affiche sur l’appareil. Vous pouvez personnaliser les informations dans les notifications. Pour plus d’informations, consultez Personnaliser les informations de contact dans Sécurité Windows.

Les alertes de détection et de réponse de point de terminaison (EDR) dans Defender pour point de terminaison sont générées lorsque des règles ASR prises en charge sont déclenchées.

Pour plus d’informations sur les fonctionnalités de notification et d’alerte, consultez Alertes et notifications des actions de règle ASR.

Pour afficher l’activité des alertes ASR dans le portail Microsoft Defender et sur les appareils dans Windows observateur d'événements, consultez Surveiller l’activité des règles de réduction de la surface d’attaque (ASR).

Surveiller l’activité des règles ASR

Pour obtenir des informations complètes, consultez Surveiller l’activité des règles de réduction de la surface d’attaque (ASR).

Contenu connexe

  • Last updated on