Activer vos règles de réduction de la surface d’attaque dans Microsoft Defender pour entreprises
Vos surfaces d’attaque sont toutes les endroits et les façons dont le réseau et les appareils de votre organization sont vulnérables aux cybermenaces et aux attaques. Les appareils non sécurisés, l’accès illimité à n’importe quelle URL sur un appareil d’entreprise et l’autorisation d’exécuter n’importe quel type d’application ou de script sur les appareils d’entreprise sont tous des exemples de surfaces d’attaque. Ils laissent votre entreprise vulnérable aux cyberattaques.
Pour protéger votre réseau et vos appareils, Microsoft Defender pour entreprises inclut plusieurs fonctionnalités de réduction de la surface d’attaque, notamment des règles de réduction de la surface d’attaque. Cet article explique comment configurer vos règles de réduction de la surface d’attaque et décrit les fonctionnalités de réduction de la surface d’attaque.
Remarque
Intune n’est pas inclus dans la version autonome de Defender pour les entreprises, mais il peut être ajouté sur.
Règles ASR de protection standard
De nombreuses règles de réduction de la surface d’attaque sont disponibles. Vous n’avez pas besoin de les configurer tous en même temps. Vous pouvez également configurer certaines règles en mode audit pour voir comment elles fonctionnent pour votre organization et les modifier ultérieurement pour qu’elles fonctionnent en mode bloc. Cela dit, nous vous recommandons d’activer les règles de protection standard suivantes dès que possible :
- Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows
- Bloquer les abus de conducteurs vulnérables exploités signés
- Bloquer la persistance via un abonnement aux événements WMI
Ces règles aident à protéger votre réseau et vos appareils, mais ne doivent pas perturber les utilisateurs. Utilisez Intune pour configurer vos règles de réduction de la surface d’attaque.
Configurer des règles ASR à l’aide de Intune
En tant qu’administrateur général, dans le centre d’administration Microsoft Intune (https://intune.microsoft.com/), accédez à Réduction de lasurface d’attaque desécurité> du point de terminaison.
Choisissez Create stratégie pour créer une stratégie.
- Pour Plateforme, choisissez Windows 10, Windows 11 et Windows Server.
- Pour Profil, sélectionnez Règles de réduction de la surface d’attaque, puis choisissez Create.
Configurez votre stratégie comme suit :
Spécifiez un nom et une description, puis choisissez Suivant.
Pour au moins les trois règles suivantes, définissez chacune sur Bloquer :
- Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows
- Bloquer la persistance via un abonnement aux événements WMI
- Bloquer les abus de conducteurs vulnérables exploités signés
Sélectionnez Suivant.
À l’étape Balises d’étendue , choisissez Suivant.
À l’étape Affectations, choisissez les utilisateurs ou les appareils auxquels recevoir les règles, puis choisissez Suivant. (Nous vous recommandons de sélectionner Ajouter tous les appareils.)
À l’étape Vérifier + créer, passez en revue les informations, puis choisissez Create.
Conseil
Si vous préférez, vous pouvez d’abord configurer vos règles de réduction de la surface d’attaque en mode audit pour voir les détections avant que les fichiers ou les processus ne soient réellement bloqués. Pour plus d’informations sur les règles de réduction de la surface d’attaque, consultez Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque.
Afficher votre rapport de réduction de la surface d’attaque
Defender entreprise inclut un rapport de réduction de la surface d’attaque qui montre comment les règles de réduction de la surface d’attaque fonctionnent pour vous.
En tant qu’administrateur général, dans le portail Microsoft Defender (https://security.microsoft.com), dans le volet de navigation, choisissez Rapports.
Sous Points de terminaison, choisissez Règles de réduction de la surface d’attaque. Le rapport s’ouvre et inclut trois onglets :
- Détections, où vous pouvez afficher les détections qui se sont produites à la suite des règles de réduction de la surface d’attaque
- Configuration, où vous pouvez afficher les données pour les règles de protection standard ou d’autres règles de réduction de la surface d’attaque
- Ajouter des exclusions, où vous pouvez ajouter des éléments à exclure des règles de réduction de la surface d’attaque (utilisez les exclusions avec parcimonie ; chaque exclusion réduit votre niveau de protection de sécurité)
Pour en savoir plus sur les règles de réduction de la surface d’attaque, consultez les articles suivants :
- Vue d’ensemble des règles de réduction de la surface d’attaque
- Rapport sur les règles de réduction de la surface d’attaque
- Informations de référence sur les règles de réduction de la surface d’attaque
- Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque
Fonctionnalités de réduction de la surface d’attaque dans Defender pour les entreprises
Les règles de réduction de la surface d’attaque sont disponibles dans Defender pour les entreprises. Le tableau suivant récapitule les fonctionnalités de réduction de la surface d’attaque dans Defender pour les entreprises. Notez que d’autres fonctionnalités, telles que la protection nouvelle génération et le filtrage de contenu web, fonctionnent avec vos fonctionnalités de réduction de la surface d’attaque.
| Fonctionnalité | Comment le configurer |
|---|---|
| Règles de réduction de la surface d’attaque Empêcher l’exécution d’actions spécifiques couramment associées à une activité malveillante sur des appareils Windows. |
Activez vos règles de réduction de la surface d’attaque de protection standard (section de cet article). |
| Accès contrôlé aux dossiers L’accès contrôlé aux dossiers permet uniquement aux applications approuvées d’accéder aux dossiers protégés sur les appareils Windows. Considérez cette fonctionnalité comme une atténuation des rançongiciels. |
Configurez la stratégie d’accès contrôlé aux dossiers dans Microsoft Defender pour entreprises. |
| Protection du réseau La protection réseau empêche les utilisateurs d’accéder à des domaines dangereux via des applications sur leurs appareils Windows et Mac. La protection réseau est également un composant clé du filtrage de contenu Web dans Microsoft Defender pour entreprises. |
La protection réseau est déjà activée par défaut lorsque les appareils sont intégrés à Defender entreprise et que les stratégies de protection nouvelle génération dans Defender pour Entreprises sont appliquées. Vos stratégies par défaut sont configurées pour utiliser les paramètres de sécurité recommandés. |
| Protection web La protection web s’intègre aux navigateurs web et fonctionne avec la protection réseau pour vous protéger contre les menaces web et le contenu indésirable. La protection web inclut le filtrage de contenu web et les rapports sur les menaces web. |
Configurez le filtrage de contenu web dans Microsoft Defender pour entreprises. |
| Protection du pare-feu La protection du pare-feu détermine le trafic réseau autorisé à circuler vers ou depuis les appareils de votre organization. |
La protection pare-feu est déjà activée par défaut lorsque les appareils sont intégrés à Defender entreprise et que les stratégies de pare-feu dans Defender pour entreprises sont appliquées. |
Prochaines étapes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour