Migration d’un HIPS non-Microsoft vers des règles de réduction de la surface d’attaque

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2

Cet article vous aide à mapper des règles courantes à Microsoft Defender pour point de terminaison.

Scénarios lors de la migration d’un produit HIPS non-Microsoft vers des règles de réduction de la surface d’attaque

Bloquer la création de fichiers spécifiques

• S’applique à - Tous les processus
• Opération - Création de fichier
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services - *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Règles de réduction de la surface d’attaque : les règles de réduction de la surface d’attaque bloquent les techniques d’attaque et non les indicateurs de compromission (IOC). Le blocage d’une extension de fichier spécifique n’est pas toujours utile, car il n’empêche pas un appareil de se compromettre. Elle ne déjoue que partiellement une attaque jusqu’à ce que les attaquants créent un nouveau type d’extension pour la charge utile.
• Autres fonctionnalités recommandées : il est fortement recommandé d’activer Microsoft Defender Antivirus, ainsi que cloud Protection et Analyse du comportement. Nous vous recommandons d’utiliser d’autres mesures de prévention, telles que la règle de réduction de la surface d’attaque Utilisez une protection avancée contre les rançongiciels, qui offre un niveau de protection plus élevé contre les attaques par ransomware. En outre, Microsoft Defender pour point de terminaison surveille la plupart de ces clés de Registre, telles que les techniques ASEP, qui déclenchent des alertes spécifiques. Les clés de Registre utilisées nécessitent un minimum de Administration local ou des privilèges programme d’installation approuvé peuvent être modifiés. Il est recommandé d’utiliser un environnement verrouillé avec un minimum de comptes d’administration ou de droits. D’autres configurations système peuvent être activées, notamment Désactiver SeDebug pour les rôles non obligatoires , ce qui fait partie de nos recommandations de sécurité plus larges.

Bloquer la création de clés de Registre spécifiques

• S’applique à - Tous les processus
• Processus - N/A
• Opération - Modifications du Registre
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Règles de réduction de la surface d’attaque : les règles de réduction de la surface d’attaque bloquent les techniques d’attaque et non les indicateurs de compromission (IOC). Le blocage d’une extension de fichier spécifique n’est pas toujours utile, car il n’empêche pas un appareil de compromettre. Elle ne déjoue que partiellement une attaque jusqu’à ce que les attaquants créent un nouveau type d’extension pour la charge utile.
• Autres fonctionnalités recommandées : il est fortement recommandé d’activer Microsoft Defender Antivirus, ainsi que cloud Protection et Analyse du comportement. Nous vous recommandons d’utiliser une prévention supplémentaire, telle que la règle de réduction de la surface d’attaque Utiliser une protection avancée contre les rançongiciels. Cela offre un niveau de protection plus élevé contre les attaques par rançongiciel. En outre, Microsoft Defender pour point de terminaison surveille plusieurs de ces clés de Registre, telles que les techniques ASEP, qui déclenchent des alertes spécifiques. En outre, les clés de Registre utilisées nécessitent un minimum de Administration local ou des privilèges programme d’installation approuvé peuvent être modifiés. Il est recommandé d’utiliser un environnement verrouillé avec un minimum de comptes d’administration ou de droits. D’autres configurations système peuvent être activées, notamment Désactiver SeDebug pour les rôles non obligatoires , ce qui fait partie de nos recommandations de sécurité plus larges.

Bloquer l’exécution des programmes non approuvés à partir de lecteurs amovibles

• S’applique à - Programmes non approuvés à partir d’USB
• Processus - *
• Opération - Exécution du processus
• *Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services : -
• Règles de réduction de la surface d’attaque : les règles de réduction de la surface d’attaque ont une règle intégrée pour empêcher le lancement de programmes non approuvés et non signés à partir de lecteurs amovibles : Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Autres fonctionnalités recommandées : explorez d’autres contrôles pour les périphériques USB et d’autres supports amovibles à l’aide de Microsoft Defender pour point de terminaison :Comment contrôler des périphériques USB et d’autres supports amovibles à l’aide de Microsoft Defender pour point de terminaison.

Empêcher Mshta de lancer certains processus enfants

• S’applique à - Mshta
• Processus - mshta.exe
• Opération - Exécution du processus
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services- powershell.exe, cmd.exe regsvr32.exe
• Règles de réduction de la surface d’attaque : les règles de réduction de la surface d’attaque ne contiennent aucune règle spécifique pour empêcher les processus enfants de mshta.exe. Ce contrôle est du ressort d’Exploit Protection ou Windows Defender Contrôle d’application.
• Autres fonctionnalités recommandées : activez Windows Defender contrôle d’application pour empêcher mshta.exe d’être entièrement exécutés. Si votre organization nécessite mshta.exe pour les applications métier, configurez une règle Windows Defender Exploit Protection spécifique pour empêcher mshta.exe de lancer des processus enfants.

Empêcher Outlook de lancer des processus enfants

• S’applique à - Outlook
• Processus - outlook.exe
• Opération - Exécution du processus
• Exemples de fichiers/dossiers, de clés/valeurs de Registre, de processus, de services powershell.exe
• Règles de réduction de la surface d’attaque : les règles de réduction de la surface d’attaque ont une règle intégrée pour empêcher les applications de communication Office (Outlook, Skype et Teams) de lancer des processus enfants : Empêcher l’application de communication Office de créer des processus enfants, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Autres fonctionnalités recommandées : nous vous recommandons d’activer le mode de langage limité PowerShell pour réduire la surface d’attaque de PowerShell.

Empêcher les applications Office de lancer des processus enfants

• S’applique à - Office
• Processus : winword.exe, powerpnt.exe, excel.exe
• Opération - Exécution du processus
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services- powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
• Règles de réduction de la surface d’attaque : les règles de réduction de la surface d’attaque ont une règle intégrée pour empêcher les applications Office de lancer des processus enfants : Empêcher toutes les applications Office de créer des processus enfants, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Autres fonctionnalités recommandées - N/A

Empêcher les applications Office de créer du contenu exécutable

• S’applique à - Office
• Processus : winword.exe, powerpnt.exe, excel.exe
• Opération - Création de fichier
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services - C :\Users*\AppData**.exe, C :\ProgramData**.exe, C :\ProgramData**.com, C :\UsersAppData\Local\Temp**.com, C :\Users\Downloads**.exe, C :\Users*\AppData**.scf, C :\ProgramData**.scf, C :\Users\Public*.exe, C :\Users*\Desktop***.exe
• Règles de réduction de la surface d’attaque - N/A.

Empêcher Wscript de lire certains types de fichiers

• S’applique à- Wscript
• Processus - wscript.exe
• Opération - Lecture du fichier
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services - C :\Users*\AppData**.js, C :\Users*\Downloads**.js
• Règles de réduction de la surface d’attaque : en raison de problèmes de fiabilité et de performances, les règles de réduction de la surface d’attaque n’ont pas la capacité d’empêcher un processus spécifique de lire un certain type de fichier de script. Nous avons une règle pour empêcher les vecteurs d’attaque qui peuvent provenir de ces scénarios. Le nom de la règle est Bloquer le lancement du contenu exécutable téléchargé par JavaScript ou VBScript (GUID d3e037e1-3eb8-44c8-a917-57927947596d ) et l’exécution de blocs de scripts potentiellement obfusqués (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Autres fonctionnalités recommandées - Bien qu’il existe des règles de réduction de la surface d’attaque spécifiques qui atténuent certains vecteurs d’attaque dans ces scénarios, il est important de mention que l’ANTIVIRUS est en mesure par défaut d’inspecter les scripts (PowerShell, Hôte de script Windows, JavaScript, VBScript, etc.) en temps réel, via l’interface d’analyse anti-programme malveillant (AMSI). Plus d’informations sont disponibles ici : Antimalware Scan Interface (AMSI).

Bloquer le lancement des processus enfants

• S’applique à - Adobe Acrobat
• Processus - AcroRd32.exe, Acrobat.exe
• Opération - Exécution du processus
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services- cmd.exe, powershell.exe wscript.exe
• Règles de réduction de la surface d’attaque : les règles de réduction de la surface d’attaque permettent d’empêcher Adobe Reader de lancer des processus enfants. Le nom de la règle est Empêcher Adobe Reader de créer des processus enfants, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Autres fonctionnalités recommandées - N/A

Bloquer le téléchargement ou la création de contenu exécutable

• S’applique à- CertUtil : Bloquer le téléchargement ou la création d’exécutables
• Processus - certutil.exe
• Opération - Création de fichier
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services - *.exe
• Règles de réduction de la surface d’attaque : les règles de réduction de la surface d’attaque ne prennent pas en charge ces scénarios, car elles font partie de Microsoft Defender protection antivirus.
• Autres fonctionnalités recommandées : Microsoft Defender Antivirus empêche CertUtil de créer ou de télécharger du contenu exécutable.

Empêcher les processus d’arrêter les composants système critiques

• S’applique à - Tous les processus
• Processus - *
• Opération - Arrêt du processus
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services - MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe et bien plus encore.
• Règles de réduction de la surface d’attaque : les règles de réduction de la surface d’attaque ne prennent pas en charge ces scénarios, car elles sont protégées par des protections de sécurité intégrées à Windows.
• Autres fonctionnalités recommandées : ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light et System Guard.

Bloquer une tentative de processus de lancement spécifique

• S’applique à des processus spécifiques
• Processus- Nommez votre processus
• Opération - Exécution du processus
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services - tor.exe, bittorrent.exe, cmd.exe, powershell.exe, etc.
• Règles de réduction de la surface d’attaque : dans l’ensemble, les règles de réduction de la surface d’attaque ne sont pas conçues pour fonctionner comme un gestionnaire d’applications.
• Autres fonctionnalités recommandées : pour empêcher les utilisateurs de lancer des processus ou programmes spécifiques, il est recommandé d’utiliser Windows Defender Contrôle d’application. Microsoft Defender pour point de terminaison indicateurs File et Cert, peuvent être utilisés dans un scénario de réponse aux incidents (ne doivent pas être considérés comme un mécanisme de contrôle d’application).

Bloquer les modifications non autorisées apportées aux configurations antivirus Microsoft Defender

• S’applique à - Tous les processus
• Processus - *
• Opération - Modifications du Registre
• Exemples de fichiers/dossiers, clés/valeurs de Registre, processus, services - HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring, etc.
• Règles de réduction de la surface d’attaque : les règles de réduction de la surface d’attaque ne couvrent pas ces scénarios, car elles font partie de la protection intégrée Microsoft Defender pour point de terminaison.
• Autres fonctionnalités recommandées : la protection contre les falsifications (opt-in, gérée à partir de Intune) empêche les modifications non autorisées des clés de Registre DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring et DisableIOAVProtection (et bien plus encore).

Voir aussi

• FAQ sur la réduction de la surface d’attaque
• Activer les règles de réduction de la surface d’attaque
• Évaluer les règles de réduction de la surface d’attaque

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.