Protéger les paramètres de sécurité avec la protection contre la falsifiation

S’applique à :

Plateformes

La protection contre les falsifications est disponible pour les appareils qui exécutent l’une des versions suivantes de Windows :

  • Windows 10 et 11 (y compris Entreprise multisession)
  • Windows Server 2022, Windows Server 2019 et Windows Server, version 1803 ou ultérieure
  • Windows Server 2016 et Windows Server 2012 R2 (à l’aide de la solution unifiée moderne)

La protection contre les falsifications est également disponible pour Mac. Consultez Protéger les paramètres de sécurité macOS avec la protection contre les falsifications.

Aperçu

Pendant certains types de cyberattaques, des acteurs malveillants tentent de désactiver les fonctionnalités de sécurité, telles que la protection antivirus, sur vos machines. Les acteurs malveillants aiment désactiver vos fonctionnalités de sécurité pour faciliter l’accès à vos données, installer des programmes malveillants ou exploiter vos données, identité et appareils. La protection contre les falsifications permet d’empêcher ce genre de choses de se produire. Avec la protection contre les falsifications, les applications malveillantes sont empêchées d’effectuer des actions telles que :

  • Désactivation de la protection contre les virus et les menaces
  • Désactivation de la protection en temps réel
  • Désactiver la surveillance du comportement
  • Désactivation de la protection antivirus, telle que IOfficeAntivirus (IOAV)
  • Désactivation de la protection fournie par le cloud
  • Suppression des mises à jour du renseignement de sécurité
  • Désactivation des actions automatiques sur les menaces détectées
  • Suppression des notifications dans l’application Sécurité Windows
  • Désactivation de l’analyse des archives et des fichiers réseau

Importante

La protection intégrée inclut l’activation de la protection contre les falsifications par défaut. Pour en savoir plus sur la protection intégrée, consultez :

La protection contre les falsifications fait partie des fonctionnalités anti-falsification qui incluent des règles de réduction de la surface d’attaque de protection standard.

Si vous utilisez Microsoft Intune pour gérer les paramètres de Defender pour point de terminaison, nous vous recommandons de définir DisableLocalAdminMerge sur true sur les appareils et de déployer à l’aide de Intune.

Lorsque la protection contre les falsifications est activée, les paramètres protégés contre les falsifications ne peuvent pas être modifiés par rapport à leur valeur par défaut. Les modifications peuvent sembler réussies dans Intune, mais ne seront pas réellement autorisées par la protection contre les falsifications. Pour obtenir la liste la plus actuelle des paramètres protégés contre les falsifications, contactez le support technique.

Fonctionnement de la protection contre les falsifications

La protection contre les falsifications verrouille essentiellement Microsoft Defender Antivirus à ses valeurs par défaut sécurisées et empêche la modification de vos paramètres de sécurité par le biais d’applications et de méthodes telles que :

  • Configuration des paramètres dans l’Éditeur du Registre sur votre appareil Windows
  • Modification des paramètres via des applets de commande PowerShell sur votre appareil

La protection contre les falsifications ne vous empêche pas d’afficher vos paramètres de sécurité. De plus, la protection contre les falsifications n’affecte pas la façon dont les applications antivirus non-Microsoft s’inscrivent auprès de l’application Sécurité Windows. Si votre organisation utilise Defender pour point de terminaison, les utilisateurs individuels ne peuvent pas modifier le paramètre de protection contre les falsifications . Dans ce cas, la protection contre les falsifications est gérée par votre équipe de sécurité.

Protection contre les falsifications et protection cloud

Selon la méthode ou l’outil de gestion que vous utilisez pour activer la protection contre les falsifications, il peut y avoir une dépendance sur la protection fournie par le cloud. La protection fournie par le cloud est également appelée protection cloud ou Microsoft Advanced Protection Service (MAPS). Le tableau suivant récapitule s’il existe une dépendance à la protection cloud.

Mode d’activation de la protection contre les falsifications La dépendance vis-à-vis de la protection cloud ?
Microsoft Intune Non
Microsoft Endpoint Configuration Manager avec attachement de locataire Non
portail Microsoft 365 Defender (https://security.microsoft.com) Oui

Méthodes de configuration de la protection contre les falsifications

Le tableau suivant répertorie les différentes méthodes que vous pouvez utiliser pour configurer la protection contre les falsifications :

Pour effectuer cette tâche... Voir ce contenu...
Gérer la protection contre les falsifications dans votre locataire

Utiliser le portail Microsoft 365 Defender pour activer ou désactiver la protection contre les falsifications
Gérer la protection contre les falsifications pour votre organisation à l’aide de Microsoft 365 Defender
Affiner les paramètres de protection contre les falsifications dans votre organisation

Utilisez Microsoft Intune pour activer ou désactiver la protection contre les falsifications. Vous pouvez configurer la protection contre les falsifications pour certains ou tous les utilisateurs à l’aide de cette méthode.
Gérer la protection contre les falsifications pour votre organisation à l’aide de Intune
Protéger les exclusions de l’antivirus Microsoft Defender Qu’en est-il des exclusions ?

Comment déterminer si la fonctionnalité de protection des exclusions est activée sur un appareil Windows
Activez (ou désactivez la protection contre les falsifications) pour votre organisation à l’aide de Configuration Manager Gérer la protection contre les falsifications pour votre organisation à l’aide de l’attachement de locataire avec Configuration Manager, version 2006
Activer (ou désactiver la protection contre les falsifications) pour un appareil individuel (pour les utilisateurs à domicile ou les appareils qui ne sont pas gérés par une équipe de sécurité) Gérer la protection contre les falsifications sur un appareil individuel
Afficher les détails des tentatives de falsification sur les appareils Afficher des informations sur les tentatives de falsification dans Microsoft 365 Defender
Passer en revue vos recommandations de sécurité Passer en revue les recommandations de sécurité
Passez en revue la liste des questions fréquentes (FAQ) Parcourir les FAQ

Qu’en est-il des exclusions ?

Si votre organisation a défini des exclusions pour Microsoft Defender Antivirus, la protection contre les falsifications protège ces exclusions, à condition que toutes les conditions suivantes soient remplies :

Conseil

Pour plus d’informations sur les exclusions, consultez Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender.

Comment déterminer si la fonctionnalité de protection des exclusions est activée sur un appareil Windows

Vous pouvez utiliser une clé de Registre pour déterminer si la fonctionnalité de protection Microsoft Defender exclusions antivirus est activée.

  1. Sur un appareil Windows, ouvrez l’Éditeur du Registre. (Le mode lecture seule est correct ; vous ne modifierez pas la clé de Registre.)

  2. Accédez à Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features (ou HKLM\SOFTWARE\Microsoft\Windows Defender\Features), puis recherchez une REG_DWORD entrée appelée TPExclusions.

    • Si TPExclusions a la valeur 1, toutes les conditions requises sont remplies et la nouvelle fonctionnalité de protection des exclusions est activée sur l’appareil. Dans ce cas, les exclusions sont protégées contre les falsifications.
    • Si TPExclusions a la valeur 0, la protection contre les falsifications ne protège pas actuellement les exclusions sur l’appareil.

Attention

Ne modifiez pas la valeur de TPExclusions. Utilisez la procédure précédente à des fins d’information uniquement. La modification de la clé n’aura aucun effet sur l’application ou non de la protection contre les falsifications aux exclusions.

Utilisez-vous Windows Server 2012 R2, 2016 ou Windows version 1709, 1803 ou 1809 ?

Si vous utilisez Windows Server 2012 R2 à l’aide de la solution unifiée moderne, Windows Server 2016, Windows 10 version 1709, 1803 ou 1809, la protection contre les falsifications ne s’affiche pas dans l’application Sécurité Windows. Au lieu de cela, vous pouvez utiliser PowerShell pour déterminer si la protection contre les falsifications est activée.

Importante

Sur Windows Server 2016, l’application Paramètres ne reflète pas avec précision l’état de la protection en temps réel lorsque la protection contre les falsifications est activée.

Utiliser PowerShell pour déterminer si la protection contre les falsifications et la protection en temps réel sont activées

  1. Ouvrez l’application Windows PowerShell.

  2. Utilisez l’applet de commande PowerShell Get-MpComputerStatus .

  3. Dans la liste des résultats, recherchez IsTamperProtected ou RealTimeProtectionEnabled. (La valeur true signifie que la protection contre les falsifications est activée.)

Afficher des informations sur les tentatives de falsification

Les tentatives de falsification indiquent généralement qu’une cyberattaque plus importante a eu lieu. Les acteurs malveillants tentent de modifier les paramètres de sécurité afin de conserver et de rester non détectés. Si vous faites partie de l’équipe de sécurité de votre organisation, vous pouvez afficher des informations sur ces tentatives, puis prendre les mesures appropriées pour atténuer les menaces.

Chaque fois qu’une tentative de falsification est détectée, une alerte est déclenchée dans le portail Microsoft 365 Defender (https://security.microsoft.com).

À l’aide de la détection et de la réponse des points de terminaison et des fonctionnalités de repérage avancées dans Microsoft Defender pour point de terminaison, votre équipe des opérations de sécurité peut examiner et résoudre ces tentatives.

Passer en revue vos recommandations de sécurité

La protection contre les falsifications s’intègre aux fonctionnalités de Gestion des vulnérabilités Microsoft Defender. Les recommandations de sécurité incluent la garantie que la protection contre les falsifications est activée. Par exemple, vous pouvez effectuer une recherche sur la falsification. Dans les résultats, vous pouvez sélectionner Activer la protection contre les falsifications pour en savoir plus et l’activer.

Pour en savoir plus sur Gestion des vulnérabilités Microsoft Defender, consultez Dashboard Insights - Defender Vulnerability Management.

Voir aussi