Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La réduction de la surface d’attaque est un ensemble de fonctionnalités dans Microsoft Defender pour point de terminaison qui éliminent les comportements à risque ou inutiles sur les appareils et les réseaux, ce qui réduit les opportunités que les attaquants ont de compromettre votre organization. Les surfaces d’attaque sont tous les endroits où votre organization est vulnérable aux cybermenaces. En durcissant ces surfaces, vous pouvez empêcher les attaques de se produire en premier lieu.
Ces fonctionnalités bloquent les comportements logiciels à risque, empêchent les connexions aux sites malveillants et protègent les données contre les accès non autorisés ou l’exfiltration. Ensemble, ils forment une défense en couches qui complète les fonctionnalités de détection et de réponse dans Defender pour point de terminaison.
Fonctionnalités de réduction de la surface d’attaque
La réduction de la surface d’attaque dans Defender pour point de terminaison inclut les fonctionnalités suivantes :
Les règles de réduction de la surface d’attaque (ASR) limitent les comportements logiciels à risque que les attaquants exploitent, tels que le lancement d’exécutables qui tentent de télécharger des fichiers, l’exécution de scripts obfusqués ou l’exécution d’actions que les applications ne lancent normalement pas au cours du travail quotidien. Pour plus d’informations, consultez Vue d’ensemble des règles de réduction de la surface d’attaque (ASR).
L’accès contrôlé aux dossiers protège les données précieuses contre les applications malveillantes et les menaces telles que les rançongiciels. Il vérifie les applications par rapport à une liste d’applications connues et approuvées et empêche les applications non approuvées de modifier des fichiers dans des dossiers protégés. Pour plus d’informations, consultez Protéger les dossiers importants avec un accès contrôlé aux dossiers.
Exploit Protection applique automatiquement les techniques d’atténuation des attaques aux processus et applications du système d’exploitation. Il s’appuie sur les protections disponibles dans le kit de ressources EMET (Enhanced Mitigation Experience Toolkit) et s’intègre à Defender pour point de terminaison pour la création de rapports et les alertes. Pour plus d’informations, consultez Protéger les appareils contre les attaques.
La protection réseau empêche les connexions à des domaines et adresses IP malveillants ou suspects. Il étend Microsoft Defender protection SmartScreen pour bloquer tout le trafic HTTP(S) sortant qui tente de se connecter à des sources de mauvaise réputation. Pour plus d’informations, consultez Protection réseau.
La protection web sécurise les appareils contre les menaces web et permet de réglementer le contenu indésirable. La protection web inclut la protection contre les menaces web, le filtrage de contenu web et les indicateurs personnalisés. Pour plus d’informations, consultez Protection web.
Le filtrage de contenu web suit et règle l’accès aux sites web en fonction de leurs catégories de contenu, ce qui vous permet de bloquer les catégories qui enfreignent les réglementations de conformité ou les stratégies organisationnelles. Pour plus d’informations, consultez Filtrage de contenu web.
Le contrôle d’appareil détermine si les utilisateurs peuvent installer et utiliser des périphériques tels que des lecteurs USB, des imprimantes et des périphériques Bluetooth sur leurs ordinateurs. Le contrôle d’appareil permet d’éviter la perte de données et les programmes malveillants provenant d’un média amovible. Pour plus d’informations, consultez Contrôle d’appareil dans Microsoft Defender pour point de terminaison.
Les rapports de pare-feu réseau s’intègrent au Pare-feu Windows pour fournir une visibilité centralisée des événements de pare-feu dans le portail Microsoft Defender. Pour plus d’informations, consultez Rapports de pare-feu hôte.
La disponibilité de ces fonctionnalités est résumée dans le tableau suivant :
| Fonctionnalité | Windows | macOS | Linux |
|---|---|---|---|
| Règles ASR | v | N | N |
| Accès contrôlé aux dossiers | v | N | N |
| Exploit Protection | v | N | N |
| Protection réseau | v | v | v* |
| Protection Web | v | v | v* |
| Filtrage du contenu web | v | v | v |
| Contrôle des appareils | v | v | N |
| Rapports de pare-feu | v | N | N |
* Actuellement en préversion.
Fonctionnalités de sécurité Windows associées
Les fonctionnalités de sécurité Windows suivantes complètent la réduction de la surface d’attaque dans Defender pour point de terminaison, mais sont configurées et gérées séparément :
- Protection d'application Microsoft Defender fournit une isolation matérielle pour Microsoft Edge, en ouvrant des sites non approuvés dans un conteneur pour protéger votre organization. Pour plus d’informations, consultez Protection d'application Microsoft Defender vue d’ensemble.
- Windows Defender Application Control (WDAC) garantit que seules les applications approuvées s’exécutent sur vos appareils. Pour plus d’informations, consultez Contrôle d’application pour Windows.
- Le Pare-feu Windows contrôle le trafic réseau entrant et sortant sur les appareils. Pour plus d’informations, consultez Pare-feu Windows avec sécurité avancée.
Comment la réduction de la surface d’attaque s’intègre à Defender pour point de terminaison
La réduction de la surface d’attaque complète d’autres fonctionnalités de Defender pour point de terminaison qui détectent et répondent aux menaces une fois qu’elles se produisent. Alors que la protection de nouvelle génération et la détection des points de terminaison et la réponse se concentrent sur l’identification et la correction des menaces actives, la réduction de la surface d’attaque empêche les menaces de prendre pied.
Chaque fonctionnalité traite une partie différente de la surface d’attaque :
- Comportement logiciel à risque : les règles ASR limitent le comportement des applications et des scripts, bloquant les techniques courantes utilisées par les attaquants pour fournir des programmes malveillants ou voler des informations d’identification.
- Connexions réseau : la protection réseau et la protection web bloquent l’accès aux sites malveillants ou inappropriés connus avant que le contenu n’atteigne l’appareil.
- Accès aux données et aux fichiers : l’accès contrôlé aux dossiers et le contrôle des appareils limitent les applications et le matériel pouvant accéder ou modifier des fichiers sensibles.
- Vulnérabilités des applications : Exploit Protection applique des atténuations qui rendent plus difficile pour les attaquants d’exploiter les vulnérabilités dans les processus et les applications du système d’exploitation.
Mode Audit
Le mode Audit vous permet d’évaluer l’impact des fonctionnalités de réduction de la surface d’attaque sur votre environnement sans affecter la productivité. Les fonctionnalités suivantes prennent en charge le mode d’audit :
- Règles et exclusions de réduction de la surface d’attaque (ASR)
- Accès contrôlé aux dossiers
- Exploit Protection
- Protection du réseau
En mode audit, les fonctionnalités ne bloquent pas les applications, les scripts ou les connexions. Au lieu de cela, le journal des événements Windows enregistre les événements comme si les fonctionnalités étaient actives. Vous pouvez consulter les journaux des événements et utiliser la chasse avancée dans le portail Microsoft Defender pour comprendre comment chaque fonctionnalité affecterait vos applications métier. Pour plus d’informations sur les données dans Windows observateur d'événements, consultez Afficher les événements de réduction de la surface d’attaque dans Windows observateur d'événements.
Outils de gestion
Vous pouvez configurer les fonctionnalités de réduction de la surface d’attaque à l’aide de plusieurs outils de gestion. Les outils suivants sont couramment utilisés :
- Microsoft Intune
- Microsoft Configuration Manager
- Stratégie de groupe
- Cmdlets PowerShell
L’outil approprié dépend de l’infrastructure et des préférences de gestion de votre organization. Pour obtenir des instructions de configuration détaillées, consultez les articles sur les fonctionnalités individuelles liées dans la section Fonctionnalités de réduction de la surface d’attaque .
Contenu connexe
- Vue d’ensemble des règles de réduction de la surface d’attaque (ASR)
- Guide de déploiement des règles de réduction de surface d’attaque (ASR)
- Événements de réduction de la surface d’attaque dans Windows observateur d'événements
- Protéger les dossiers importants avec accès contrôlé aux dossiers
- Protéger les appareils contre les codes malveillants exploitant une faille de sécurité
- Protection du réseau
- Protection web
- Contrôle d’appareil dans Microsoft Defender pour point de terminaison