Forum aux questions (FAQ) sur la protection contre les falsifications

Les appareils doivent répondre à toutes les exigences suivantes :

• Les appareils doivent exécuter certaines versions de Windows ou macOS. (Voir Sur quels appareils la protection contre les falsifications peut-elle être activée ?)
• Les appareils doivent être intégrés à Microsoft Defender pour point de terminaison.
• Les appareils doivent utiliser la version 4.18.2010.7 de plateforme anti-programme malveillant (ou ultérieure) et la version 1.1.17600.5 du moteur anti-programme malveillant (ou version ultérieure). (Gérer les mises à jour Microsoft Defender antivirus et appliquer les bases de référence.)
• La protection fournie par le cloud doit être activée.

Pour gérer la protection contre les falsifications dans le portail Microsoft Defender (https://security.microsoft.com), vous devez disposer des autorisations appropriées attribuées via des rôles, tels que Administrateur général ou Administrateur de la sécurité. (Voir Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC)))

• Windows 11
• Multisession Windows 11 Entreprise
• Windows 10 os 1709, 1803, 1809 ou version ultérieure avec Microsoft Defender pour point de terminaison.
• Windows 10 Entreprise à sessions multiples

Si vous utilisez Configuration Manager version 2006 avec l’attachement de locataire, la protection contre les falsifications peut être étendue à Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 et Windows Server 2022. Consultez Attachement de locataire : Create et déployer la stratégie antivirus de sécurité des points de terminaison à partir du centre d’administration (préversion) .

Non. Les offres antivirus non-Microsoft continuent de s’inscrire auprès de l’application Sécurité Windows.

Si un logiciel antivirus/anti-programme malveillant non-Microsoft est installé sur un appareil, lorsque celui-ci est intégré à Microsoft Defender pour point de terminaison, Microsoft Defender Antivirus s’exécute en mode passif par défaut. La protection contre les falsifications protège le service et ses fonctionnalités.

Si/quand un logiciel antivirus/anti-programme malveillant non-Microsoft est désinstallé, Microsoft Defender Antivirus passe automatiquement en mode actif. La protection contre les falsifications continue de protéger le service et ses fonctionnalités.

Nous vous recommandons d’utiliser Microsoft Intune pour gérer Microsoft Defender paramètres antivirus de votre organization. Avec Intune, vous pouvez contrôler où la protection contre les falsifications est activée (ou désactivée) via des stratégies. Vous pouvez également protéger Microsoft Defender exclusions antivirus. Consultez Protection contre les falsifications : exclusions d’antivirus Microsoft Defender.

Vous pouvez également utiliser le portail Microsoft Defender ou Configuration Manager.

Si vous êtes un utilisateur à domicile, consultez Gérer la protection contre les falsifications sur un appareil individuel.

La protection contre les falsifications fait partie de la protection intégrée et doit être activée.

De nouvelles fonctionnalités sont en cours de déploiement pour protéger Microsoft Defender exclusions antivirus sur les appareils. Certaines conditions doivent être remplies. Par exemple, vous devez utiliser Intune uniquement ou Configuration Manager uniquement pour gérer les appareils, et vous devez activer l’option Sense. Consultez Protéger les exclusions d’antivirus Microsoft Defender.

Si vous utilisez actuellement Intune pour configurer et gérer la protection contre les falsifications, vous devez continuer à utiliser Intune. Lorsque la protection contre les falsifications est activée et que vous utilisez stratégie de groupe pour modifier Microsoft Defender paramètres antivirus, tous les paramètres protégés par la protection contre les falsifications sont ignorés.

• Si vous devez apporter des modifications à un appareil et que ces modifications sont bloquées par la protection contre les falsifications, vous pouvez utiliser le mode résolution des problèmes pour désactiver temporairement la protection contre les falsifications sur l’appareil. Une fois le mode de résolution des problèmes terminé, toutes les modifications apportées aux paramètres protégés contre la falsification sont rétablies à leur état configuré.
• Vous pouvez utiliser Intune ou Configuration Manager pour exclure les appareils de la protection contre les falsifications.
• Si vous gérez la protection contre les falsifications via Intune et que certaines autres conditions sont remplies, vous pouvez gérer les exclusions antivirus protégées contre les falsifications.

Si vous utilisez Intune pour configurer et gérer la protection contre les falsifications, vous n’avez pas nécessairement besoin d’appliquer la protection contre les falsifications à l’ensemble de votre organization. Avec Intune, vous pouvez choisir d’appliquer la protection contre les falsifications à l’ensemble de votre organization, ou vous pouvez sélectionner des appareils ou des groupes d’utilisateurs spécifiques pour recevoir la protection contre les falsifications. Vous pouvez également exclure des appareils spécifiques de la protection contre les falsifications.

Lorsque la protection contre les falsifications est activée, les paramètres de sécurité suivants sont protégés contre toute modification :

• La protection contre les virus et les menaces reste activée.
• La protection en temps réel reste activée.
• La surveillance du comportement reste activée.
• La protection antivirus, y compris IOfficeAntivirus (IOAV) reste activée.
• La protection cloud reste activée.
• Les mises à jour du renseignement de sécurité continuent de se produire.
• Des actions automatiques sont effectuées sur les menaces détectées.
• Les notifications sont visibles dans l’application Sécurité Windows sur les appareils Windows.
• Les fichiers archivés sont analysés.

Pour plus d’informations, consultez Que se passe-t-il lorsque la protection contre les falsifications est activée ?

Lorsque la protection contre les falsifications est activée dans le portail Microsoft Defender (https://security.microsoft.com), la protection contre les falsifications est activée à l’échelle du locataire. Toutefois, les stratégies définies dans Intune ou Configuration Manager peuvent remplacer les paramètres du portail Microsoft Defender. Par exemple, vous pouvez définir une stratégie dans Intune ou Configuration Manager qui exclut certains appareils de la protection contre les falsifications.

Utilisez Intune pour déployer DisableLocalAdminMerge.

Suivez les instructions fournies dans Gérer les exclusions d’antivirus protégés contre les falsifications.

Non. Lorsque la protection contre les falsifications pour les exclusions est activée, vous n’avez pas besoin de la désactiver pour appliquer de nouvelles exclusions.

Oui. Comme pour l’utilisation de Intune, vous pouvez appliquer la protection contre les falsifications à l’ensemble de votre organization, ou à des utilisateurs et des appareils spécifiques. Pour plus d’informations, consultez les ressources suivantes :

• Gérer la protection contre les falsifications à l’aide de Intune
• Gérer la protection contre les falsifications à l’aide de l’attachement de locataire avec Configuration Manager, version 2006
• Blog de la communauté technique : Annonce de la protection contre les falsifications pour les clients Configuration Manager Tenant Attach

En général, la protection contre les falsifications permet de protéger les utilisateurs contre la possibilité de modifier les paramètres de sécurité directement sur les appareils. La protection contre les falsifications fait partie des fonctionnalités anti-falsification qui incluent des règles standard de réduction de la surface d’attaque de protection. Pour empêcher les programmes malveillants de s’exécuter dans le noyau, envisagez d’utiliser des règles de blocage de pilote avec Le contrôle d’application pour Windows.

Si un appareil est désactivé de Microsoft Defender pour point de terminaison, la protection contre les falsifications est activée, ce qui est l’état par défaut pour les appareils non gérés.

Les alertes doivent être répertoriées dans le portail Microsoft Defender sous Alertes.

Votre équipe des opérations de sécurité peut également utiliser des requêtes de repérage, comme l’exemple suivant :

AlertInfo|where Title == "Tamper Protection bypass"

Vous pouvez utiliser l’une des méthodes suivantes pour configurer la protection contre les falsifications :

• Le portail Microsoft Defender (activer ou désactiver la protection contre les falsifications, à l’échelle du locataire)
• Intune (activer ou désactiver la protection contre les falsifications et/ou configurer la protection contre les falsifications pour tout ou partie des utilisateurs)
• Configuration Manager (avec l’attachement de locataire, vous pouvez configurer la protection contre les falsifications pour certains ou tous les appareils à l’aide du profil d’expérience Sécurité Windows).
• application Sécurité Windows (pour un appareil individuel utilisé à la maison ou dans les situations où une équipe de sécurité ne gère pas votre appareil)