Exploit Protection permet de se protéger contre les programmes malveillants qui utilisent des attaques pour infecter les appareils et se propager. Exploit Protection se compose de nombreuses atténuations qui peuvent être appliquées au système d’exploitation ou à des applications individuelles.
Important
.NET 2.0 n’est pas compatible avec certaines fonctionnalités de Exploit Protection, en particulier le filtrage des adresses d’exportation (EAF) et le filtrage des adresses d’importation (IAF). Si vous avez activé .NET 2.0, l’utilisation d’EAF et d’IAF n’est pas prise en charge.
De nombreuses fonctionnalités d’EMET (Enhanced Mitigation Experience Toolkit) sont incluses dans Exploit Protection.
Configuration requise
Cette section contient des recommandations pour réussir le déploiement d’Exploit Protection.
Vérifiez quelles applications sont déjà compilées avec « Control Flow Guard » (CFG) qui se concentrent principalement sur l’atténuation des vulnérabilités d’altération de la mémoire. Utilisez l’outil dumpbin pour voir s’il est compilé avec CFG. Pour ces applications, vous pouvez ignorer l’activation de l’application pour DEP, ASRL, SEHOP et ACG.
Utilisez des pratiques de déploiement sécurisé.
Avertissement
Si vous ne testez pas et que vous ne passez pas par des pratiques de déploiement sécurisées, vous pouvez contribuer aux pannes de productivité des utilisateurs finaux.
Pratiques de déploiement sécurisé
Pratiques de déploiement sécurisé (SDP) : les processus et procédures de déploiement sécurisés définissent comment apporter et déployer des modifications en toute sécurité à votre charge de travail. L’implémentation de SDP vous oblige à réfléchir aux déploiements sous l’angle de la gestion des risques. Vous pouvez réduire le risque de pannes de productivité des utilisateurs finaux dans vos déploiements et limiter les effets des déploiements problématiques sur vos utilisateurs en implémentant SDP.
Commencez avec un petit ensemble (par exemple, 10 à 50) d’appareils Windows et utilisez-le comme environnement de test pour voir quelles mesures d’atténuation des 21 sont incompatibles avec exploit protection. Supprimez les atténuations qui ne sont pas compatibles avec l’application. Répétez avec les applications que vous ciblez. Une fois que vous pensez que la stratégie est prête pour la production.
Commencez par envoyer (push) d’abord aux tests d’acceptation utilisateur (UAT) composés des administrateurs informatiques, des administrateurs de la sécurité et du personnel du support technique. Puis à 1 %, 5 %, 10 %, 25 %, 50 %, 75 % et enfin à 100 % de votre environnement.
Activation des atténuations d’Exploit Protection
Vous pouvez activer chaque atténuation séparément à l’aide de l’une des méthodes suivantes :
Exploit Protection est configuré par défaut dans Windows 10 et Windows 11. Vous pouvez définir chaque atténuation sur activé, désactivé ou sur sa valeur par défaut. Certaines atténuations ont plus d’options. Vous pouvez exporter ces paramètres sous forme de fichier XML et les déployer sur d’autres appareils.
Vous pouvez également définir des atténuations en mode audit. Le mode audit vous permet de tester le fonctionnement des atténuations (et d’examiner les événements) sans affecter l’utilisation normale de l’appareil.
Ouvrez l’application Sécurité Windows.
Ouvrez l’application Sécurité Windows en sélectionnant l’icône du bouclier dans la barre des tâches ou en recherchant sécurité dans le menu Démarrer.
Sélectionnez la vignette Contrôle Applications et navigateur (ou l’icône de l’application dans la barre de menus de gauche), puis sélectionnez Paramètres Exploit Protection.
Accédez aux paramètres du programme et choisissez l’application à laquelle vous souhaitez appliquer les atténuations.
Si l’application que vous souhaitez configurer est déjà répertoriée, sélectionnez-la, puis sélectionnez Modifier.
Si l’application n’est pas répertoriée, en haut de la liste, sélectionnez Ajouter un programme à personnaliser , puis choisissez la façon dont vous souhaitez ajouter l’application.
Utilisez Ajouter par nom de programme pour appliquer l’atténuation à tout processus en cours d’exécution portant ce nom. Spécifiez un fichier avec son extension. Vous pouvez entrer un chemin d’accès complet pour limiter l’atténuation uniquement à l’application portant ce nom à cet emplacement.
Utilisez Choisir le chemin exact du fichier pour utiliser une fenêtre standard de sélecteur de fichiers Explorateur Windows pour rechercher et sélectionner le fichier souhaité.
Après avoir sélectionné l’application, vous verrez une liste de toutes les atténuations qui peuvent être appliquées. Choisir Audit applique l’atténuation en mode audit uniquement. Vous êtes averti si vous devez redémarrer le processus ou l’application, ou si vous devez redémarrer Windows.
Répétez les étapes 3 à 4 pour toutes les applications et atténuations que vous souhaitez configurer.
Dans la section Paramètres système, recherchez l’atténuation que vous souhaitez configurer, puis spécifiez l’un des paramètres suivants. Les applications qui ne sont pas configurées individuellement dans la section Paramètres du programme utilisent les paramètres configurés ici.
Activé par défaut : l’atténuation est activée pour les applications pour lesquelles cette atténuation n’est pas définie dans la section Paramètres du programme spécifique à l’application
Désactivé par défaut : l’atténuation est désactivée pour les applications pour lesquelles cette atténuation n’est pas définie dans la section Paramètres du programme spécifique à l’application
Utiliser la valeur par défaut : l’atténuation est activée ou désactivée, selon la configuration par défaut configurée par Windows 10 ou l’installation de Windows 11 ; la valeur par défaut (Activé ou Désactivé) est toujours spécifiée en regard de l’étiquette Utiliser par défaut pour chaque atténuation
Répétez l’étape 6 pour toutes les atténuations au niveau du système que vous souhaitez configurer. Sélectionnez Appliquer lorsque vous avez terminé de paramétrer votre configuration.
Si vous ajoutez une application à la section Paramètres du programme et que vous y configurez des paramètres d’atténuation individuels, ils sont respectés au-dessus de la configuration pour les mêmes atténuations spécifiées dans la section Paramètres système . La matrice et les exemples suivants illustrent le fonctionnement des valeurs par défaut :
Activé dans les paramètres du programme
Activé dans les paramètres système
Comportement
Oui
Non
Comme défini dans les paramètres du programme
Oui
Oui
Comme défini dans les paramètres du programme
Non
Oui
Comme défini dans les paramètres système
Non
Non
Valeur par défaut définie dans l’option Utiliser par défaut
Exemple 1 : Mikael configure la prévention de l'exécution des données dans la section des paramètres du système pour qu'elle soit désactivée par défaut.
Mikael ajoute l'application test.exe à la section Paramètres du programme. Dans les options de cette application, sous Prévention de l’exécution des données (DEP), Elleel active l’option Remplacer les paramètres système et définit le commutateur sur Activé. Aucune autre application n’est répertoriée dans la section Paramètres du programme.
Le résultat est que DEP est activé uniquement pour test.exe. Aucune deP n’est appliquée à toutes les autres applications.
Exemple 2 : Josie configure la prévention de l’exécution des données dans les paramètres système pour qu’elle soit désactivée par défaut
Josie ajoute l’application test.exe à la section Paramètres du programme. Dans les options de cette application, sous Prévention de l’exécution des données (DEP), Josie active l’option Remplacer les paramètres système et définit le commutateur sur Activé.
Josie ajoute également l’application miles.exe à la section Paramètres du programme et configure la CFG (Control Flow Guard) sur Activé. Josie n’active pas l’option Remplacer les paramètres système pour la DEP ou toute autre atténuation pour cette application.
Le résultat est que la DEP est activé uniquement pour test.exe. DEP ne sera activé pour aucune autre application, y compris miles.exe. La CFG sera activé pour miles.exe.
Ouvrez l’application Sécurité Windows en sélectionnant l’icône de bouclier dans la barre des tâches ou en recherchant Sécurité Windows dans le menu Démarrer.
Sélectionnez la vignette Contrôle Applications et navigateur (ou l’icône de l’application dans la barre de menus de gauche), puis sélectionnez Exploit Protection.
Accédez aux paramètres du programme et choisissez l’application à laquelle vous souhaitez appliquer les atténuations.
Si l’application que vous souhaitez configurer est déjà répertoriée, sélectionnez-la, puis sélectionnez Modifier.
Si l’application n’est pas répertoriée, en haut de la liste, sélectionnez Ajouter un programme à personnaliser , puis choisissez la façon dont vous souhaitez ajouter l’application.
Utilisez Ajouter par nom de programme pour appliquer l’atténuation à tout processus en cours d’exécution portant ce nom. Spécifiez un fichier avec une extension. Vous pouvez entrer un chemin d’accès complet pour limiter l’atténuation uniquement à l’application portant ce nom à cet emplacement.
Utilisez Choisir le chemin exact du fichier pour utiliser une fenêtre standard de sélecteur de fichiers Explorateur Windows pour rechercher et sélectionner le fichier souhaité.
Après avoir sélectionné l’application, vous verrez une liste de toutes les atténuations qui peuvent être appliquées. Choisir Audit applique l’atténuation en mode audit uniquement. Vous êtes averti si vous devez redémarrer le processus ou l’application, ou si vous devez redémarrer Windows.
Répétez les étapes 3 à 4 pour toutes les applications et atténuations que vous souhaitez configurer. Sélectionnez Appliquer lorsque vous avez terminé de paramétrer votre configuration.
Accédez à Configuration >de l’appareilProfils >de configurationCréer un profil.
Nommez le profil, choisissez Windows 10 et versions ultérieures, sélectionnez modèles pour Type de profil et choisissez Endpoint Protection sous nom du modèle.
Spécifiez un nom et une description, puis choisissez Suivant.
Sélectionnez Sélectionner un fichier XML et accédez à l’emplacement du fichier XML Exploit Protection. Sélectionnez le fichier, puis choisissez Suivant.
Configurez les balises d’étendue et les affectations si nécessaire.
Sous Vérifier + créer, passez en revue vos paramètres de configuration, puis choisissez Créer.
Ressources et conformité
Dans Microsoft Configuration Manager, accédez à Ressources et conformité>Endpoint Protection>Windows Defender Exploit Guard.
Sélectionnez Accueil>Créer une stratégie Exploit Guard.
Accédez à l’emplacement du fichier XML Exploit Protection, puis sélectionnez Suivant.
Accédez à l’emplacement du fichier XML Exploit Protection, puis sélectionnez Suivant.
Passez en revue les paramètres, puis choisissez Suivant pour créer la stratégie.
Une fois la stratégie créée, sélectionnez Fermer.
Stratégie de groupe
Sur votre appareil de gestion stratégie de groupe, ouvrez la console de gestion stratégie de groupe. Cliquez avec le bouton droit sur l’objet stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.
Dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur, puis sélectionnez Modèles d’administration.
Développez l’arborescence des composants> WindowsWindows Defender Exploit Guard>Exploit Protection>Utilisez un ensemble commun de paramètres exploit protection.
Sélectionnez Activé, tapez l’emplacement du fichier XML, puis choisissez OK.
PowerShell
Vous pouvez utiliser le verbe PowerShell Get ou Set avec l’applet de commande ProcessMitigation. L’utilisation Get de répertorie la configuration actuelle status des atténuations activées sur l’appareil. Ajoutez l’applet -Name de commande et l’exe de l’application pour voir les atténuations pour cette application uniquement :
Get-ProcessMitigation -Name processName.exe
Important
Les atténuations au niveau du système qui n’ont pas été configurées affichent l’état de NOTSET.
Pour les paramètres au niveau du système, NOTSET indique que le paramètre par défaut pour cette atténuation a été appliqué.
Pour les paramètres au niveau de l’application, NOTSET indique que le paramètre au niveau du système pour l’atténuation sera appliqué.
Le paramètre par défaut de chaque atténuation au niveau du système peut être affiché dans la Sécurité Windows.
Utilisez Set pour configurer chaque atténuation au format suivant :
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Où :
<Étendue> :
-Name pour indiquer que les atténuations doivent être appliquées à une application spécifique. Spécifiez l’exécutable de l’application après cet indicateur.
-System pour indiquer que l’atténuation doit être appliquée au niveau du système
<Action> :
-Enable pour activer l’atténuation
-Disable de désactiver l’atténuation
<Atténuation :>
L’applet de commande de l’atténuation ainsi que les sous-options (entourées d’espaces). Chaque atténuation est séparée par une virgule.
Par exemple, pour activer l’atténuation de prévention de l’exécution des données (DEP) avec émulation de thunk ATL et pour un exécutable appelé testing.exe dans le dossier C:\Apps\LOB\tests, et pour empêcher cet exécutable de créer des processus enfants, vous devez utiliser la commande suivante :
Séparez chaque option d’atténuation par des virgules.
Si vous souhaitez appliquer le DEP au niveau du système, vous devez utiliser la commande suivante :
Set-Processmitigation -System -Enable DEP
Pour désactiver les atténuations, vous pouvez remplacer -Enable avec -Disable. Toutefois, pour les atténuations au niveau de l’application, cette action force la désactivation de l’atténuation uniquement pour cette application.
Si vous devez restaurer l’atténuation sur la valeur par défaut du système, vous devez également inclure l’applet de commande -Remove , comme dans l’exemple suivant :
Set-Processmitigation -Name test.exe -Remove -Disable DEP
Le tableau suivant répertorie les atténuations individuelles (et les audits, le cas échéant) à utiliser avec les paramètres de l’applet de commande -Enable ou -Disable.
Type d’atténuation
S’applique à
Mot clé du paramètre de l’applet de commande d’atténuation
Paramètre d’applet de commande du mode Audit
Protection du flux de contrôle (CFG)
Au niveau du système et de l’application
CFG, StrictCFG, SuppressExports
Audit non disponible
Prévention de l’exécution des données (PED)
Au niveau du système et de l’application
DEP, EmulateAtlThunks
Audit non disponible
Forcer la randomisation des images (randomisation du format d’espace d’adresse obligatoire)
Au niveau du système et de l’application
ForceRelocateImages
Audit non disponible
Randomiser les allocations de mémoire (randomisation du format d’espace d’adresse de bas en haut)
[2] : L’audit de cette atténuation n’est pas disponible via les applets de commande PowerShell.
Personnaliser la notification
Pour plus d’informations sur la personnalisation de la notification lorsqu’une règle est déclenchée et qu’une application ou un fichier est bloqué, consultez Sécurité Windows.
Suppression des atténuations d’exploit protection
Pour réinitialiser (annuler ou supprimer) les atténuations d’exploit protection, consultez la référence Exploit Protection.
Planifier et exécuter une stratégie de déploiement de points de terminaison, en utilisant les éléments essentiels de la gestion moderne, les approches de cogestion et l’intégration de Microsoft Intune.