Passez en revue ou modifiez vos stratégies de protection nouvelle génération dans Microsoft Defender pour entreprises

Article
04/26/2024

Dans Defender for Business, la protection nouvelle génération inclut une protection antivirus et anti-programme malveillant robuste pour les ordinateurs et les appareils mobiles. Les stratégies par défaut avec les paramètres recommandés sont incluses dans Defender pour les entreprises. Les stratégies par défaut sont conçues pour protéger vos appareils et vos utilisateurs sans nuire à la productivité. Toutefois, vous pouvez personnaliser vos stratégies en fonction des besoins de votre entreprise.

Vous pouvez choisir parmi plusieurs options pour gérer vos stratégies de protection nouvelle génération :

Utilisez le portail Microsoft Defender à l’adresse https://security.microsoft.com (recommandé si vous utilisez la version autonome de Defender pour les entreprises sans Intune) ; ou
Utilisez le centre d’administration Microsoft Intune sur https://intune.microsoft.com (disponible si votre abonnement inclut Intune)

Portail Microsoft Defender
centre d’administration Intune

Accédez au portail Microsoft Defender (https://security.microsoft.com), puis connectez-vous.
Dans le volet de navigation, accédez à Gestion de la configuration>Configuration Configuration de l’appareil. Les stratégies sont organisées par système d’exploitation et type de stratégie.
Sélectionnez un onglet de système d’exploitation (par exemple , Windows).
Développez Protection nouvelle génération pour afficher votre liste de stratégies. Au minimum, une stratégie par défaut utilisant les paramètres recommandés est répertoriée. Cette stratégie par défaut est affectée à tous les appareils intégrés exécutant le système d’exploitation que vous avez sélectionné à l’étape précédente (par exemple , Windows). Vous pouvez :
- Conservez votre stratégie par défaut telle qu’elle est actuellement configurée.
- Modifiez votre stratégie par défaut pour effectuer les ajustements nécessaires.
- Créer une nouvelle stratégie.

Utilisez l’une des procédures du tableau suivant :

Tâche	Procédure
Modifier votre stratégie par défaut	1. Dans la section Protection de nouvelle génération , sélectionnez votre stratégie par défaut, puis choisissez Modifier. 2. À l’étape Informations générales , passez en revue les informations. Si nécessaire, modifiez la description, puis sélectionnez Suivant. 3. À l’étape Groupes d’appareils, utilisez un groupe existant ou configurez un nouveau groupe. Sélectionnez Suivant. 4. À l’étape Paramètres de configuration , passez en revue et, si nécessaire, modifiez vos paramètres de sécurité, puis choisissez Suivant. Pour plus d’informations sur les paramètres, consultez Paramètres et options de protection nouvelle génération (dans cet article). 5. À l’étape Vérifier votre stratégie , passez en revue vos paramètres actuels. Sélectionnez Modifier pour apporter les modifications nécessaires. Sélectionnez ensuite Mettre à jour la stratégie.
Créer une stratégie	1. Dans la section Protection nouvelle génération , sélectionnez Ajouter. 2. À l’étape Informations générales , spécifiez un nom et une description pour votre stratégie. Vous pouvez également conserver ou modifier un ordre de stratégie (voir Comprendre l’ordre de stratégie dans Microsoft Defender pour entreprises). Ensuite, sélectionnez Suivant. 3. À l’étape Groupes d’appareils, vous pouvez utiliser un groupe existant ou créer un groupe (voir Groupes d’appareils dans Microsoft Defender pour entreprises). Sélectionnez Suivant. 4. À l’étape Paramètres de configuration , passez en revue et modifiez vos paramètres de sécurité, puis choisissez Suivant. Pour plus d’informations sur les paramètres, consultez Paramètres et options de protection nouvelle génération (dans cet article). 5. À l’étape Vérifier votre stratégie , passez en revue vos paramètres actuels. Sélectionnez Modifier pour apporter les modifications nécessaires. Sélectionnez ensuite Create stratégie.

Tâche

Procédure

Modifier votre stratégie par défaut

1. Dans la section Protection de nouvelle génération , sélectionnez votre stratégie par défaut, puis choisissez Modifier.

2. À l’étape Informations générales , passez en revue les informations. Si nécessaire, modifiez la description, puis sélectionnez Suivant.

3. À l’étape Groupes d’appareils, utilisez un groupe existant ou configurez un nouveau groupe. Sélectionnez Suivant.

4. À l’étape Paramètres de configuration , passez en revue et, si nécessaire, modifiez vos paramètres de sécurité, puis choisissez Suivant. Pour plus d’informations sur les paramètres, consultez Paramètres et options de protection nouvelle génération (dans cet article).

5. À l’étape Vérifier votre stratégie , passez en revue vos paramètres actuels. Sélectionnez Modifier pour apporter les modifications nécessaires. Sélectionnez ensuite Mettre à jour la stratégie.

Créer une stratégie

1. Dans la section Protection nouvelle génération , sélectionnez Ajouter.

2. À l’étape Informations générales , spécifiez un nom et une description pour votre stratégie. Vous pouvez également conserver ou modifier un ordre de stratégie (voir Comprendre l’ordre de stratégie dans Microsoft Defender pour entreprises). Ensuite, sélectionnez Suivant.

3. À l’étape Groupes d’appareils, vous pouvez utiliser un groupe existant ou créer un groupe (voir Groupes d’appareils dans Microsoft Defender pour entreprises). Sélectionnez Suivant.

4. À l’étape Paramètres de configuration , passez en revue et modifiez vos paramètres de sécurité, puis choisissez Suivant. Pour plus d’informations sur les paramètres, consultez Paramètres et options de protection nouvelle génération (dans cet article).

5. À l’étape Vérifier votre stratégie , passez en revue vos paramètres actuels. Sélectionnez Modifier pour apporter les modifications nécessaires. Sélectionnez ensuite Create stratégie.

Paramètres et options de protection nouvelle génération

Le tableau suivant répertorie les paramètres et les options de protection nouvelle génération dans Defender pour les entreprises.

Setting	Description
Protection en temps réel
Activer la protection en temps réel	Activée par défaut, la protection en temps réel localise et arrête l’exécution des programmes malveillants sur les appareils. Nous vous recommandons d’activer la protection en temps réel. Lorsque la protection en temps réel est activée, elle configure les paramètres suivants : - La surveillance du comportement est activée (AllowBehaviorMonitoring). - Tous les fichiers et pièces jointes téléchargés sont analysés (AllowIOAVProtection). - Les scripts utilisés dans les navigateurs Microsoft sont analysés (AllowScriptScanning).
Bloquer à la première consultation	Activé par défaut, bloquer à la première consultation bloque les programmes malveillants dans les secondes suivant la détection, augmente le temps (en secondes) autorisé à envoyer des exemples de fichiers à des fins d’analyse et définit votre niveau de détection sur Élevé. Nous vous recommandons de garder l’option Bloquer à la première consultation activée. Lorsque l’option Bloquer à la première consultation est activée, elle configure les paramètres suivants pour Microsoft Defender Antivirus : - Le blocage et l’analyse des fichiers suspects sont définis sur le niveau de blocage élevé (CloudBlockLevel). - Le nombre de secondes pendant lesquelles un fichier doit être bloqué et vérifié est défini sur 50 secondes (CloudExtendedTimeout). Important Si bloquer à la première consultation est désactivé, cela affecte `CloudBlockLevel` et `CloudExtendedTimeout` pour Microsoft Defender Antivirus.
Activer la protection du réseau	Activée en mode Bloquer par défaut, la protection réseau permet de se protéger contre les escroqueries par hameçonnage, les sites d’hébergement d’exploitation et les contenus malveillants sur Internet. Il empêche également les utilisateurs de désactiver la protection réseau. La protection réseau peut être définie sur les modes suivants : - Le mode bloc est le paramètre par défaut. Il empêche les utilisateurs de visiter des sites considérés comme dangereux. Nous vous recommandons de conserver la protection réseau définie sur le mode Bloquer. - Le mode Audit permet aux utilisateurs de visiter des sites susceptibles d’être dangereux et de suivre l’activité réseau vers/depuis ces sites. - Le mode désactivé n’empêche pas les utilisateurs de visiter des sites susceptibles d’être dangereux, ni de suivre l’activité réseau vers/depuis ces sites.
Assainissement
Action à entreprendre sur les applications potentiellement indésirables (PUA)	Activée par défaut, la protection PUA bloque les éléments détectés comme puA. L’ESD peut inclure des logiciels publicitaires ; le regroupement de logiciels qui propose d’installer d’autres logiciels non signés ; et les logiciels d’évasion qui tentent d’échapper aux fonctionnalités de sécurité. Bien que l’authentification puA ne soit pas nécessairement un virus, un programme malveillant ou un autre type de menace, elle peut affecter les performances de l’appareil. Vous pouvez définir la protection puA sur les modes suivants : - Activé est le paramètre par défaut. Il bloque les éléments détectés comme puA sur les appareils. Nous vous recommandons d’activer la protection puA. - Le mode Audit n’effectue aucune action sur les éléments détectés comme puA. - Désactivé ne détecte pas et n’effectue pas d’action sur les éléments qui peuvent être puA.
Analyser
Type d’analyse planifiée	Activé en mode Analyse rapide par défaut, vous pouvez spécifier un jour et une heure pour exécuter des analyses antivirus hebdomadaires. Les options de type d’analyse suivantes sont disponibles : - QuickScan vérifie les emplacements, tels que les clés de Registre et les dossiers de démarrage, où les programmes malveillants peuvent être enregistrés pour démarrer avec un appareil. Nous vous recommandons d’utiliser l’option quickscan. - L’analyse complète vérifie tous les fichiers et dossiers sur un appareil. - Désactivé signifie qu’aucune analyse planifiée n’aura lieu. Les utilisateurs peuvent toujours exécuter des analyses sur leurs propres appareils. (En général, nous vous déconseillons de désactiver les analyses planifiées.) En savoir plus sur les types d’analyse.
Jour de la semaine pour exécuter une analyse planifiée	Sélectionnez un jour pour que vos analyses antivirus hebdomadaires régulières s’exécutent.
Heure de la journée pour exécuter une analyse planifiée	Sélectionnez une heure pour exécuter vos analyses antivirus planifiées régulièrement.
Utiliser des performances faibles	Ce paramètre est désactivé par défaut. Nous vous recommandons de désactiver ce paramètre. Toutefois, vous pouvez activer ce paramètre pour limiter la mémoire et les ressources de l’appareil utilisées pendant les analyses planifiées. Important Si vous activez l’option Utiliser des performances faibles, elle configure les paramètres suivants pour Microsoft Defender Antivirus : - Les fichiers d’archive ne sont pas analysés (AllowArchiveScanning). - Les analyses se voient attribuer une priorité processeur basse (EnableLowCPUPriority). - Si une analyse antivirus complète est manquée, aucune analyse de rattrapage n’est exécutée (DisableCatchupFullScan). - Si une analyse antivirus rapide est manquée, aucune analyse de rattrapage n’est exécutée (DisableCatchupQuickScan). - Réduit le facteur de charge moyenne du processeur pendant une analyse antivirus de 50 % à 20 % (AvgCPULoadFactor).
Expérience utilisateur
Autoriser les utilisateurs à accéder à l’application Sécurité Windows	Activez ce paramètre pour permettre aux utilisateurs d’ouvrir l’application Sécurité Windows sur leurs appareils. Les utilisateurs ne pourront pas remplacer les paramètres que vous configurez dans Defender entreprise, mais ils pourront exécuter une analyse rapide ou afficher les menaces détectées.
Exclusions d’antivirus	Les exclusions sont des processus, des fichiers ou des dossiers ignorés par Microsoft Defender analyses antivirus. En général, vous n’avez pas besoin de définir des exclusions. Microsoft Defender Antivirus inclut de nombreuses exclusions automatiques basées sur le comportement connu du système d’exploitation et les fichiers de gestion classiques. Chaque exclusion réduit votre niveau de protection. Il est donc important d’examiner attentivement les exclusions à définir. Avant d’ajouter des exclusions, consultez Gérer les exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender.
Exclusions de processus	Les exclusions de processus empêchent les fichiers ouverts par des processus spécifiques d’être analysés par Microsoft Defender Antivirus. Lorsque vous ajoutez un processus à la liste d’exclusions de processus, Microsoft Defender Antivirus n’analyse pas les fichiers ouverts par ce processus, quel que soit l’emplacement des fichiers. Le processus lui-même est analysé, sauf s’il est ajouté à la liste d’exclusions de fichiers. Consultez Configurer des exclusions pour les fichiers ouverts par des processus.
Exclusions d’extension de fichier	Les exclusions d’extension de fichier empêchent l’analyse des fichiers avec des extensions spécifiques par Microsoft Defender Antivirus. Consultez Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier.
Exclusions de fichiers et de dossiers	Les exclusions de fichiers et de dossiers empêchent l’analyse des fichiers qui se trouvent dans des dossiers spécifiques par Microsoft Defender Antivirus. Consultez Exclusions de fichiers et de dossiers contextuels.

Autres paramètres préconfigurés dans Defender pour les entreprises

Les paramètres de sécurité suivants sont préconfigurés dans Defender pour les entreprises :

L’analyse des lecteurs amovibles est activée (AllowFullScanRemovableDriveScanning).
Les analyses rapides quotidiennes n’ont pas d’heure prédéfinie (ScheduleQuickScanTime).
Les mises à jour de security intelligence sont vérifiées avant l’exécution d’une analyse antivirus (CheckForSignaturesBeforeRunningScan).
Les vérifications de renseignement de sécurité ont lieu toutes les quatre heures (SignatureUpdateInterval).

Comment les paramètres par défaut de Defender entreprise correspondent-ils aux paramètres de Microsoft Intune

Le tableau suivant décrit les paramètres préconfigurés pour Defender entreprise et comment ces paramètres correspondent à ce que vous pouvez voir dans Intune. Si vous utilisez le processus de configuration simplifié dans Defender pour les entreprises, vous n’avez pas besoin de modifier ces paramètres.

Setting	Description
Protection cloud	Parfois appelée protection fournie par le cloud ou Microsoft Advanced Protection Service (MAPS), la protection cloud fonctionne avec Microsoft Defender Antivirus et le cloud Microsoft pour identifier les nouvelles menaces, parfois même avant qu’un seul appareil ne soit affecté. Par défaut, AllowCloudProtection est activé. En savoir plus sur la protection cloud.
Surveillance des fichiers entrants et sortants	Pour surveiller les fichiers entrants et sortants, RealTimeScanDirection est configuré pour surveiller tous les fichiers.
Analyser les fichiers réseau	Par défaut, AllowScanningNetworkFiles n’est pas activé et les fichiers réseau ne sont pas analysés.
Analyser les messages électroniques	Par défaut, AllowEmailScanning n’est pas activé et les messages électroniques ne sont pas analysés.
Nombre de jours (0-90) pour conserver les programmes malveillants mis en quarantaine	Par défaut, le paramètre DaysToRetainCleanedMalware est défini sur zéro (0) jours. Les artefacts en quarantaine ne sont pas supprimés automatiquement.
Envoyer le consentement des exemples	Par défaut, SubmitSamplesConsent est défini pour envoyer automatiquement des exemples sécurisés. Exemples d’exemples sûrs : `.bat`les fichiers , `.scr`, `.dll`et `.exe` qui ne contiennent pas d’informations d’identification personnelle (PII). Si un fichier contient des informations d’identification personnelle, l’utilisateur reçoit une demande pour autoriser l’envoi de l’exemple à continuer. En savoir plus sur la protection cloud et l’envoi d’exemples.
Analyser les lecteurs amovibles	Par défaut, AllowFullScanRemovableDriveScanning est configuré pour analyser les lecteurs amovibles, tels que les lecteurs USB sur les appareils. En savoir plus sur les paramètres de stratégie anti-programme malveillant.
Exécuter le temps d’analyse rapide quotidien	Par défaut, ScheduleQuickScanTime est défini sur 02 :00. En savoir plus sur les paramètres d’analyse.
Rechercher les mises à jour de signature avant d’exécuter l’analyse	Par défaut, CheckForSignaturesBeforeRunningScan est configuré pour case activée des mises à jour de veille de sécurité avant d’exécuter des analyses antivirus/anti-programme malveillant. En savoir plus sur les paramètres d’analyse et les mises à jour du renseignement de sécurité.
Fréquence (0-24 heures) de case activée pour les mises à jour du renseignement de sécurité	Par défaut, SignatureUpdateInterval est configuré pour case activée pour les mises à jour du renseignement de sécurité toutes les quatre heures. En savoir plus sur les paramètres d’analyse et les mises à jour du renseignement de sécurité.

Prochaines étapes

Configurez vos stratégies de pare-feu et vos règles personnalisées pour les stratégies de pare-feu.
Configurez votre stratégie de filtrage de contenu web et activez automatiquement la protection web.
Configurez votre stratégie d’accès contrôlé aux dossiers pour la protection contre les rançongiciels.
Activez vos règles de réduction de la surface d’attaque.
Passez en revue les paramètres des fonctionnalités avancées et le portail Microsoft Defender.
Utiliser votre tableau de bord de gestion des vulnérabilités dans Microsoft Defender pour entreprises