S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Antivirus Microsoft Defender
- Microsoft Defender pour les PME
- Microsoft 365 Business Premium
Plateformes
- Windows
Quelles sont les conditions requises pour que la protection contre les falsifications atteigne les appareils lorsque la protection contre les falsifications est activée dans le portail Microsoft Defender ?
Les appareils doivent répondre à toutes les exigences suivantes :
- Les appareils doivent exécuter certaines versions de Windows ou macOS. (Voir Sur quels appareils la protection contre les falsifications peut-elle être activée ?)
- Les appareils doivent être intégrés à Microsoft Defender pour point de terminaison.
- Les appareils doivent utiliser la version
4.18.2010.7
de plateforme anti-programme malveillant (ou ultérieure) et la version1.1.17600.5
du moteur anti-programme malveillant (ou version ultérieure). (Gérer les mises à jour de l’Antivirus Microsoft Defender et appliquer des bases de référence.) - La protection fournie par le cloud doit être activée.
Pour gérer la protection contre les falsifications dans le portail Microsoft Defender (https://security.microsoft.com), vous devez disposer des autorisations appropriées attribuées via des rôles, tels que Administrateur de la sécurité. (Consultez Contrôle d’accès en fonction du rôle (RBAC) Microsoft Defender XDR.)
Sur quelles versions de Windows puis-je configurer la protection contre les falsifications ?
- Windows 11
- Multisession Windows 11 Entreprise
- Windows 10 OS 1709, 1803, 1809 ou version ultérieure avec Microsoft Defender pour point de terminaison.
- Windows 10 Entreprise à sessions multiples
Si vous utilisez Configuration Manager, version 2006, avec attachement de locataire, la protection contre les falsifications peut être étendue à Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 et Windows Server 2022. Consultez Attachement de locataire : créer et déployer une stratégie antivirus de sécurité de point de terminaison à partir du centre d’administration (préversion).
La protection contre les falsifications affecte-t-elle l’inscription d’antivirus non-Microsoft dans l’application Sécurité Windows ?
Non. Les offres antivirus non-Microsoft continuent de s’inscrire auprès de l’application Sécurité Windows.
Que se passe-t-il si l’Antivirus Microsoft Defender n’est pas actif sur un appareil ?
Si un logiciel antivirus/anti-programme malveillant non-Microsoft est installé sur un appareil, lorsque cet appareil est intégré à Microsoft Defender pour point de terminaison, l’Antivirus Microsoft Defender s’exécute en mode passif par défaut. La protection contre les falsifications protège le service et ses fonctionnalités.
Si/quand un logiciel antivirus/anti-programme malveillant non-Microsoft est désinstallé, l’Antivirus Microsoft Defender passe automatiquement en mode actif. La protection contre les falsifications continue de protéger le service et ses fonctionnalités.
Comment activer ou désactiver la protection contre les falsifications ?
Nous vous recommandons d’utiliser Microsoft Intune pour gérer les paramètres de l’Antivirus Microsoft Defender pour votre organisation. Avec Intune, vous pouvez contrôler où la protection contre les falsifications est activée (ou désactivée) via des stratégies. Vous pouvez également protéger les exclusions de l’Antivirus Microsoft Defender. Consultez Protection contre les falsifications : exclusions de l’antivirus Microsoft Defender.
Vous pouvez également utiliser le portail Microsoft Defender ou Configuration Manager.
Si vous êtes un utilisateur à domicile, consultez Gérer la protection contre les falsifications sur un appareil individuel.
La protection contre les falsifications fait partie de la protection intégrée et doit être activée.
La protection contre les falsifications s’applique-t-elle aux exclusions de l’Antivirus Microsoft Defender ?
Oui. Pour protéger les exclusions de l’Antivirus Microsoft Defender sur les appareils, certaines conditions doivent être remplies. Par exemple, vous devez utiliser Intune uniquement ou Configuration Manager uniquement pour gérer les appareils, et vous devez activer l’option Sense. Consultez Protéger les exclusions de l’antivirus Microsoft Defender.
Comment la configuration de la protection contre les falsifications dans Intune affecte-t-elle la façon dont je gère l’Antivirus Microsoft Defender avec la stratégie de groupe ?
Si vous utilisez actuellement Intune pour configurer et gérer la protection contre les falsifications, vous devez continuer à utiliser Intune. Lorsque la protection contre les falsifications est activée et que vous utilisez une stratégie de groupe pour apporter des modifications aux paramètres de l’Antivirus Microsoft Defender, tous les paramètres protégés par la protection contre les falsifications sont ignorés.
- Si vous devez apporter des modifications à un appareil et que ces modifications sont bloquées par la protection contre les falsifications, vous pouvez utiliser le mode résolution des problèmes pour désactiver temporairement la protection contre les falsifications sur l’appareil. Une fois le mode de résolution des problèmes terminé, toutes les modifications apportées aux paramètres protégés contre la falsification sont rétablies à leur état configuré.
- Vous pouvez utiliser Intune ou Configuration Manager pour exclure les appareils de la protection contre les falsifications.
- Si vous gérez la protection contre les falsifications via Intune et que certaines autres conditions sont remplies, vous pouvez gérer les exclusions antivirus protégées contre les falsifications.
Si nous utilisons Microsoft Intune pour configurer la protection contre les falsifications, s’applique-t-elle uniquement à l’ensemble de l’organisation ?
Si vous utilisez Intune pour configurer et gérer la protection contre les falsifications, vous n’avez pas nécessairement besoin d’appliquer la protection contre les falsifications à l’ensemble de votre organisation. Avec Intune, vous pouvez choisir d’appliquer la protection contre les falsifications à l’ensemble de votre organisation, ou vous pouvez sélectionner des appareils ou des groupes d’utilisateurs spécifiques pour recevoir la protection contre les falsifications. Vous pouvez également exclure des appareils spécifiques de la protection contre les falsifications.
Quels paramètres ne peuvent pas être modifiés lorsque la protection contre les falsifications est activée ?
Lorsque la protection contre les falsifications est activée, les paramètres de sécurité suivants sont protégés contre toute modification :
- La protection contre les virus et les menaces reste activée.
- La protection en temps réel reste activée.
- La surveillance du comportement reste activée.
- La protection antivirus, y compris IOfficeAntivirus (IOAV) reste activée.
- La protection cloud reste activée.
- Les mises à jour du renseignement de sécurité continuent de se produire.
- Des actions automatiques sont effectuées sur les menaces détectées.
- Les notifications sont visibles dans l’application Sécurité Windows sur les appareils Windows.
- Les fichiers archivés sont analysés.
Pour plus d’informations, consultez Que se passe-t-il lorsque la protection contre les falsifications est activée ?
Si la protection contre les falsifications est activée dans Microsoft Defender XDR, les paramètres dans Intune ou Configuration Manager peuvent-ils la remplacer ?
Lorsque la protection contre les falsifications est activée dans le portail Microsoft Defender (https://security.microsoft.com), la protection contre les falsifications est activée à l’échelle du locataire. Toutefois, les stratégies définies dans Intune ou Configuration Manager peuvent remplacer les paramètres dans le portail Microsoft Defender. Par exemple, vous pouvez définir une stratégie dans Intune ou Configuration Manager qui exclut certains appareils de la protection contre les falsifications.
Comment déployer DisableLocalAdminMerge ?
Utilisez Intune pour déployer DisableLocalAdminMerge.
Comment puis-je vérifier si les exclusions sont protégées contre les falsifications sur un appareil Windows ?
Suivez les instructions fournies dans Gérer les exclusions d’antivirus protégés contre les falsifications.
Si la protection contre les falsifications est activée pour les exclusions, dois-je la désactiver pour appliquer de nouveaux paramètres de stratégie d’exclusion à partir d’Intune ou de Configuration Manager ?
Non. Lorsque la protection contre les falsifications pour les exclusions est activée, vous n’avez pas besoin de la désactiver pour appliquer de nouvelles exclusions.
Puis-je configurer la protection contre les falsifications avec Configuration Manager ?
Oui. À l’instar d’Intune, vous pouvez appliquer la protection contre les falsifications à l’ensemble de votre organisation ou à des utilisateurs et appareils spécifiques. Pour plus d’informations, consultez les ressources suivantes :
- Gérer la protection contre les falsifications à l’aide d’Intune
- Gérer la protection contre les falsifications à l’aide de l’attachement de locataire avec Configuration Manager, version 2006
- Blog de la communauté technique : Annonce de la protection contre les falsifications pour les clients Configuration Manager Tenant Attach
Je suis un client d’entreprise. Les administrateurs locaux peuvent-ils modifier la protection contre les falsifications sur leurs appareils ?
En général, la protection contre les falsifications permet de protéger les utilisateurs contre la possibilité de modifier les paramètres de sécurité directement sur les appareils. La protection contre les falsifications fait partie des fonctionnalités anti-falsification qui incluent des règles standard de réduction de la surface d’attaque de protection. Pour empêcher les programmes malveillants de s’exécuter dans le noyau, envisagez d’utiliser des règles de blocage de pilote avec Le contrôle d’application pour Windows.
Que se passe-t-il si mon appareil est intégré à Microsoft Defender pour point de terminaison et passe ensuite à un état non intégré ?
Si un appareil est désactivé à partir de Microsoft Defender pour point de terminaison, la protection contre les falsifications est activée, qui est l’état par défaut pour les appareils non gérés.
Si l’état de la protection contre les falsifications change, les alertes sont-elles affichées dans le portail Microsoft Defender ?
Les alertes doivent être répertoriées dans le portail Microsoft Defender sous Alertes. Votre équipe des opérations de sécurité peut également utiliser des requêtes de repérage, comme l’exemple suivant :
AlertInfo|where Title == "Tamper Protection bypass"
Quelles sont les options de configuration de la protection contre les falsifications ?
Vous pouvez utiliser l’une des méthodes suivantes pour configurer la protection contre les falsifications :
- Le portail Microsoft Defender (activer ou désactiver la protection contre les falsifications, à l’échelle du locataire)
- Intune (activer ou désactiver la protection contre les falsifications et/ou configurer la protection contre les falsifications pour certains ou tous les utilisateurs)
- Configuration Manager (avec l’attachement de locataire, vous pouvez configurer la protection contre les falsifications pour certains ou tous les appareils à l’aide du profil d’expérience de sécurité Windows).
- Application Sécurité Windows (pour un appareil individuel utilisé à la maison ou dans les situations où une équipe de sécurité ne gère pas votre appareil)
Remarque
Nous vous recommandons de maintenir la protection contre les falsifications activée pour l’ensemble de votre organisation. Si la protection contre les falsifications empêche votre équipe informatique ou de sécurité d’effectuer une tâche nécessaire sur un appareil, envisagez d’utiliser le mode résolution des problèmes au lieu de désactiver la protection contre les falsifications.