Créer et déployer une stratégie Exploit Guard
S’applique à : Configuration Manager (branche actuelle)
Vous pouvez configurer et déployer des stratégies Configuration Manager qui gèrent les quatre composants de Windows Defender Exploit Guard. Ces composants sont les suivants :
- Réduction de la surface d’attaque
- Accès contrôlé aux dossiers
- Exploit Protection
- Protection réseau
Les données de conformité pour le déploiement de stratégie Exploit Guard sont disponibles à partir de la console Configuration Manager.
Remarque
Configuration Manager n’active pas cette fonctionnalité facultative par défaut. Vous devez activer cette fonctionnalité avant de l’utiliser. Pour plus d’informations, consultez Activer les fonctionnalités facultatives des mises à jour.
Prerequisites
Les appareils gérés doivent s’exécuter Windows 10 1709 ou version ultérieure ; la build minimale de Windows Server est la version 1809 ou ultérieure jusqu’à Server 2019 uniquement. Les exigences suivantes doivent également être satisfaites, en fonction des composants et des règles configurés :
Composant Exploit Guard | Conditions préalables supplémentaires |
---|---|
Réduction de la surface d’attaque | Les appareils doivent avoir Microsoft Defender pour point de terminaison protection always-on activée. |
Accès contrôlé aux dossiers | Les appareils doivent avoir Microsoft Defender pour point de terminaison protection always-on activée. |
Exploit Protection | Aucune |
Protection réseau | Les appareils doivent avoir Microsoft Defender pour point de terminaison protection always-on activée. |
Créer une stratégie Exploit Guard
Dans la console Configuration Manager, accédez à Ressources et conformité>Endpoint Protection, puis cliquez sur Windows Defender Exploit Guard.
Sous l’onglet Accueil , dans le groupe Créer , cliquez sur Créer une stratégie Exploit.
Dans la page Général de l’Assistant Création d’un élément de configuration, spécifiez un nom et éventuellement une description pour l’élément de configuration.
Ensuite, sélectionnez les composants Exploit Guard que vous souhaitez gérer avec cette stratégie. Pour chaque composant que vous sélectionnez, vous pouvez ensuite configurer des détails supplémentaires.
- Réduction de la surface d’attaque : Configurez les menaces Office, les menaces de script et les menaces par e-mail que vous souhaitez bloquer ou auditer. Vous pouvez également exclure des fichiers ou dossiers spécifiques de cette règle.
- Accès contrôlé aux dossiers : Configurez le blocage ou l’audit, puis ajoutez des applications qui peuvent contourner cette stratégie. Vous pouvez également spécifier des dossiers supplémentaires qui ne sont pas protégés par défaut.
- Exploit Protection : Spécifiez un fichier XML qui contient les paramètres permettant d’atténuer les attaques des processus système et des applications. Vous pouvez exporter ces paramètres à partir de l’application Windows Defender Security Center sur un appareil Windows 10 ou version ultérieure.
- Protection réseau : Définissez la protection réseau pour bloquer ou auditer l’accès aux domaines suspects.
Terminez l’Assistant pour créer la stratégie, que vous pourrez déployer ultérieurement sur des appareils.
Avertissement
Le fichier XML pour exploit protection doit être sécurisé lors du transfert entre les machines. Le fichier doit être supprimé après l’importation ou conservé dans un emplacement sécurisé.
Déployer une stratégie Exploit Guard
Après avoir créé des stratégies Exploit Guard, utilisez l’Assistant Déployer une stratégie Exploit Guard pour les déployer. Pour ce faire, ouvrez la console Configuration Manager sur Ressources et conformité>Endpoint Protection, puis cliquez sur Déployer la stratégie Exploit Guard.
Importante
Une fois que vous avez déployé une stratégie Exploit Guard, telle que la réduction de la surface d’attaque ou l’accès contrôlé aux dossiers, les paramètres Exploit Guard ne sont pas supprimés des clients si vous supprimez le déploiement.
Delete not supported
est enregistré dans le ExploitGuardHandler.log du client si vous supprimez le déploiement Exploit Guard du client.
Le script PowerShell suivant peut être exécuté sous le contexte SYSTEM pour supprimer ces paramètres :
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Windows Defender paramètres de stratégie Exploit Guard
Stratégies et options de réduction de la surface d’attaque
La réduction de la surface d’attaque peut réduire la surface d’attaque de vos applications grâce à des règles intelligentes qui arrêtent les vecteurs utilisés par Office, les scripts et les logiciels malveillants basés sur la messagerie. En savoir plus sur la réduction de la surface d’attaque et les ID d’événement utilisés pour cette réduction.
Fichiers et dossiers à exclure des règles de réduction de la surface d’attaque : cliquez sur Définir et spécifiez les fichiers ou dossiers à exclure.
Menaces Email :
- Bloquer le contenu exécutable du client de messagerie et de la messagerie web.
- Non configuré
- Bloquer
- Audit
- Bloquer le contenu exécutable du client de messagerie et de la messagerie web.
Menaces office :
- Empêcher l’application Office de créer des processus enfants.
- Non configuré
- Bloquer
- Audit
- Empêcher les applications Office de créer du contenu exécutable.
- Non configuré
- Bloquer
- Audit
- Empêcher les applications Office d’injecter du code dans d’autres processus.
- Non configuré
- Bloquer
- Audit
- Bloquez les appels d’API Win32 dans les macros Office.
- Non configuré
- Bloquer
- Audit
- Empêcher l’application Office de créer des processus enfants.
Menaces de script :
- Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé.
- Non configuré
- Bloquer
- Audit
- Bloquer l’exécution de scripts potentiellement obfusqués.
- Non configuré
- Bloquer
- Audit
- Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé.
Menaces de ransomware : (à partir de Configuration Manager version 1802)
- Utilisez une protection avancée contre les rançongiciels.
- Non configuré
- Bloquer
- Audit
- Utilisez une protection avancée contre les rançongiciels.
Menaces du système d’exploitation : (à partir de Configuration Manager version 1802)
- Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows.
- Non configuré
- Bloquer
- Audit
- Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence, d’âge ou de liste de confiance.
- Non configuré
- Bloquer
- Audit
- Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows.
Menaces d’appareil externe : (à partir de Configuration Manager version 1802)
- Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB.
- Non configuré
- Bloquer
- Audit
- Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB.
Stratégies et options d’accès contrôlé aux dossiers
Permet de protéger les fichiers des dossiers système clés contre les modifications apportées par des applications malveillantes et suspectes, y compris les logiciels malveillants de ransomware de chiffrement de fichiers. Pour plus d’informations, consultez Accès contrôlé aux dossiers et ID d’événement qu’il utilise.
-
Configurer l’accès contrôlé aux dossiers :
- Bloquer
- Bloquer les secteurs de disque uniquement (à partir de Configuration Manager version 1802)
- Autorise l’activation de l’accès contrôlé aux dossiers pour les secteurs de démarrage uniquement et n’active pas la protection de dossiers spécifiques ou des dossiers protégés par défaut.
- Audit
- Auditer les secteurs de disque uniquement (à partir de Configuration Manager version 1802)
- Autorise l’activation de l’accès contrôlé aux dossiers pour les secteurs de démarrage uniquement et n’active pas la protection de dossiers spécifiques ou des dossiers protégés par défaut.
- Désactivé
- Autoriser les applications via Accès contrôlé aux dossiers : cliquez sur Définir et spécifiez les applications.
- Dossiers protégés supplémentaires : cliquez sur Définir et spécifiez des dossiers protégés supplémentaires.
Stratégies exploit protection
Applique des techniques d’atténuation des attaques aux processus et applications du système d’exploitation que votre organization utilise. Ces paramètres peuvent être exportés à partir de l’application Windows Defender Security Center sur des appareils Windows 10 ou ultérieurs. Pour plus d’informations, consultez Exploit Protection.
Exploit Protection XML : -Cliquez sur Parcourir et spécifiez le fichier XML à importer.
Avertissement
Le fichier XML pour exploit protection doit être sécurisé lors du transfert entre les machines. Le fichier doit être supprimé après l’importation ou conservé dans un emplacement sécurisé.
Stratégie de protection réseau
Permet de réduire la surface d’attaque sur les appareils des attaques basées sur Internet. Le service restreint l’accès aux domaines suspects qui peuvent héberger des escroqueries, des attaques par hameçonnage et du contenu malveillant. Pour plus d’informations, consultez Protection réseau.
-
Configurer la protection réseau :
- Bloquer
- Audit
- Désactivé