Activer les règles de réduction de la surface d’attaque

  • 17 minutes

La surface d’attaque comprend tous les emplacements à partir desquels une personne malveillante peut compromettre les appareils ou les réseaux de votre organisation. La réduction de la surface d’attaque consiste à protéger les appareils et le réseau de votre organisation, laissant moins de possibilités d’attaques.

Les règles de réduction de la surface d’attaque ciblent certains comportements de logiciel qui sont souvent utilisés par des attaquants. Ces comportements sont les suivants :

  • Lancements de scripts et de fichiers exécutables qui tentent de télécharger ou d’exécuter des fichiers

  • Exécution de scripts obscurcis ou suspects

  • Exécution de comportements que les applications n’initient généralement pas au cours d’un travail quotidien normal.

De tels comportements de logiciel existent parfois dans des applications légitimes ; toutefois, ces comportements sont souvent considérés comme risqués, car ils sont couramment utilisés par des logiciels malveillants. Les règles de réduction de la surface d’attaque peuvent limiter les comportements risqués et contribuer à la sécurisation de votre organisation.

Chaque règle de réduction de la surface d’attaque contient l’un des quatre paramètres suivants :

  • Non configuré : désactiver la règle de réduction de la surface d’attaque

  • Bloquer : activer la règle de réduction de la surface d’attaque

  • Audit : évaluer la façon dont la règle de réduction de la surface d’attaque affecte votre organisation si elle est activée

  • Warn: activer la règle de réduction de la surface d’attaque, mais autoriser l’utilisateur final à contourner le bloc

Règles de réduction de la surface d'attaque

Les règles de réduction de la surface d’attaque prennent actuellement en charge les règles ci-dessous :

  • Bloquer le contenu exécutable du client de messagerie et de la messagerie web
  • Empêcher toutes les applications Office de créer des processus enfants
  • Empêcher les applications Office de créer du contenu exécutable
  • Empêcher les applications Office d’injecter du code dans d’autres processus
  • Empêcher JavaScript ou VBScript de lancer du contenu exécutable téléchargé
  • Bloquer l’exécution de scripts potentiellement obfusqués
  • Bloquer les appels d’API Win32 à partir des macros Office
  • Utiliser une protection avancée contre les ransomwares
  • Bloquer le vol des informations d’identification du sous-système de l’autorité de sécurité locale Windows (lsass.exe)
  • Bloquer les créations de processus issues des commandes PSExec et WMI
  • Bloque les processus non approuvés et non signés qui s’exécutent par USB
  • Bloque l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence, d’âge ou de liste approuvée
  • Empêcher les applications de communication Office de créer des processus enfants
  • Empêcher Adobe Reader de créer des processus enfants
  • Blocage de la persistance par le biais d’un abonnement aux événements WMI

Exclure des fichiers et dossiers à règles de réduction de la surface d'attaque

Vous pouvez empêcher l’évaluation de fichiers et de dossiers pour la plupart des règles de réduction de la surface d’attaque. Cela signifie que même si une règle de réduction de la surface d’attaque détermine que le fichier ou le dossier contient un comportement malveillant, elle ne bloque pas l’exécution du fichier, ce qui signifie également que des fichiers potentiellement non sécurisés sont autorisés à s’exécuter et à infecter vos appareils.

Vous excluez les règles de réduction de la surface d’attaque du déclenchement basé sur les hachages de certificat et de fichier en autorisant des indicateurs de certificat et de fichier spécifique pour Defender pour les points de terminaison.

Vous pouvez spécifier des fichiers ou des dossiers individuels (à l’aide de chemins de dossier ou de noms de ressources complets), mais vous ne pouvez pas spécifier les règles auxquelles les exclusions s’appliquent. Une exclusion est appliquée uniquement lorsque l’application ou le service exclu démarre. Par exemple, si vous ajoutez une exclusion pour un service de mise à jour qui est déjà en cours d’exécution, le service de mise à jour continue à déclencher des événements jusqu’à ce que le service soit arrêté et redémarré.

Mode audit pour l’évaluation

Utilisez le mode audit pour évaluer l’impact des règles de réduction de la surface d’attaque sur votre organisation si elles ont été activées. Il est préférable d’exécuter toutes les règles en mode audit pour vous permettre de comprendre leur impact sur vos applications métier. De nombreuses applications métier sont écrites avec des problèmes de sécurité limités et peuvent exécuter des tâches de la même façon que les programmes malveillants. En surveillant les données d’audit et en ajoutant des exclusions pour les applications nécessaires, vous pouvez déployer des règles de réduction de la surface d’attaque sans impacter la productivité.

Notifications lorsqu’une règle est déclenchée

Chaque fois qu’une règle est déclenchée, une notification s’affiche sur l’appareil. Vous pouvez personnaliser la notification avec les informations de contact et les détails de votre entreprise. La notification s’affiche également dans le portail Microsoft Defender.

Configurer les règles de réduction de la surface d'attaque

Vous pouvez définir ces règles pour les appareils exécutant l’une des éditions et versions suivantes de Windows :

  • Windows 10 Pro, version 1709 ou ultérieure
  • Windows 10 Entreprise, version 1709 ou ultérieure
  • Windows Server, version 1803 (canal semi-annuel) ou ultérieure
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

Vous pouvez activer des règles de réduction de la surface d’attaque à l’aide de l’une des méthodes suivantes :

  • Microsoft Intune
  • Gestion des appareils mobiles
  • Microsoft Endpoint Configuration Manager
  • Stratégie de groupe
  • PowerShell

La gestion au niveau de l’entreprise, comme Intune ou Microsoft Endpoint Configuration Manager, est recommandée. La gestion au niveau de l’entreprise remplace les stratégies de groupe ou paramètres PowerShell conflictuels au démarrage.

Intune

Profils de configuration de l’appareil :

  1. Sélectionnez Configuration de l’appareil > Profils. Choisissez un profil de protection des points de terminaison existant ou bien créez-en un. Pour en créer un, sélectionnez Créer un profil , puis entrez les informations pour ce profil. Pour Type de profil, sélectionnez Protection des points de terminaison. Si vous avez choisi un profil existant, sélectionnez Propriétés , puis sélectionnez Paramètres.

  2. Dans le volet Protection des points de terminaison, sélectionnez Windows Defender exploit Guard, puis sélectionnez Réduction de la surface d’attaque. Sélectionnez le paramètre souhaité pour chaque règle.

  3. Sous Exceptions de réduction de la surface d’attaque, entrez des fichiers et des dossiers individuels. Vous pouvez également importer un fichier .csv qui contient des fichiers et des dossiers à exclure des règles de réduction de la surface d’attaque. Chaque ligne du fichier CSV doit être formatée comme suit :

    C:\dossier, %ProgramFiles%\dossier\file, C:\chemin

  4. Cliquez sur OK sur les trois volets de configuration. Sélectionnez ensuite Créer si vous créez un nouveau fichier de protection des points de terminaison ou cliquez sur Enregistrer si vous en modifiez un existant.

Stratégie de sécurité des points de terminaison :

  1. Sélectionnez Sécurité des points de terminaison > Réduction de la surface d’attaque. Choisissez une règle existante ou créez-en une. Pour en créer une, sélectionnez Créer une stratégie, puis entrez les informations pour ce profil. Pour le type de profil, sélectionnez Règles de réduction de la surface d’attaque. Si vous avez choisi un profil existant, sélectionnez Propriétés , puis sélectionnez Paramètres.

  2. Dans le volet Paramètres de configuration, sélectionnez Réduction de la surface d’attaque, puis sélectionnez le paramètre souhaité pour chaque règle.

  3. Sous Liste des dossiers supplémentaires qui doivent être protégés, Liste des applications qui ont accès aux dossiers protégés, et Exclure les fichiers et les chemins des règles de réduction de la surface d’attaque, entrez des fichiers et des dossiers individuels. Vous pouvez également importer un fichier .csv qui contient des fichiers et des dossiers à exclure des règles de réduction de la surface d’attaque. Chaque ligne du fichier CSV doit être formatée comme suit :

    C:\dossier, %ProgramFiles%\dossier\file, C:\chemin

  4. Sélectionnez Suivant dans les trois volets de configuration, puis sélectionnez Créer si vous créez une nouvelle stratégie ou Enregistrer si vous modifiez une stratégie existante.

Gestion des appareils mobiles

Pour gérer les règles de réduction de la surface d’attaque dans la gestion des périphériques mobiles :

  • Utilisez le fournisseur de services de configuration (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules pour activer et définir individuellement le mode pour chaque règle.

  • Suivez les informations de référence sur la gestion des périphériques mobiles dans les règles de réduction de la surface d’attaque pour l’utilisation de valeurs GUID.

  • Chemin OMA-URI : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Valeur : 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • Les valeurs à activer, désactiver ou activer en mode audit sont les suivantes :

    • Désactiver = 0

    • Bloquer (activer la règle de réduction de la surface d’attaque) = 1

    • Audit = 2

  • Utilisez le fournisseur de services de configuration (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions pour ajouter des exclusions.

Exemple :

  • Chemin OMA-URI : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • Valeur : c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

Pour gérer les règles de réduction de la surface d’attaque dans Microsoft Endpoint Configuration Manager :

  1. Dans Microsoft Endpoint Configuration Manager, accédez à Ressources et conformité > Endpoint Protection > Windows Defender Exploit Guard.

  2. Sélectionnez Accueil > Créer une stratégie Exploit Guard.

  3. Entrez un nom et une description, sélectionnez réduction de la surface d’attaque, puis sélectionnez Suivant.

  4. Choisissez les règles qui doivent bloquer ou auditer les actions, puis sélectionnez Suivant.

  5. Passez en revue les paramètres, puis sélectionnez Suivant pour créer la stratégie.

  6. Une fois la stratégie créée, sélectionnez Fermer.

Stratégie de groupe

Pour gérer les règles de réduction de la surface d’attaque au sein d’une stratégie de groupe :

Avertissement

Si vous gérez vos ordinateurs et appareils avec Intune, Configuration Manager ou une autre plateforme de gestion au niveau de l’entreprise, le logiciel de gestion remplacera tous les paramètres de stratégie de groupe en conflit au démarrage.

  1. Sur votre ordinateur de gestion de stratégie de groupe, ouvrez le Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.

  2. Dans l’éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur, puis sélectionnez Modèles d’administration.

  3. Développez l’arborescence vers Composants Windows > Antivirus Microsoft Defender > Windows Defender Exploit Guard > Réduction de la surface d’attaque.

  4. Sélectionnez Configurer les règles de réduction de la surface d’attaque et sélectionnez Activé. Vous pouvez ensuite définir l’état individuel de chaque règle dans la section Options.

  5. Sélectionnez Afficher... et entrez l’ID de règle dans la colonne Nom de la valeur et l’état choisi dans la colonne Valeur comme suit :

    Désactiver = 0 Bloquer (activer la règle de réduction de la surface d’attaque) = 1 Audit = 2

  6. Pour exclure des fichiers et des dossiers des règles de réduction de la surface d’attaque, sélectionnez le paramètre Exclure des fichiers et des chemins d’accès des règles de réduction de la surface d’attaque et définissez l’option sur Activé. Sélectionnez Afficher et entrez chaque fichier ou dossier dans la colonne Nom de la valeur. Entrez 0 dans la colonne Valeur pour chaque élément.

PowerShell

Pour gérer les règles de réduction de la surface d’attaque avec PowerShell :

Avertissement

Si vous gérez vos ordinateurs et appareils avec Intune, Configuration Manager ou une autre plateforme de gestion au niveau de l’entreprise, le logiciel de gestion remplacera tous les paramètres PowerShell en conflit au démarrage. Pour permettre aux utilisateurs de définir la valeur à l’aide de PowerShell, utilisez l’option « définie par l’utilisateur » comme règle dans la plateforme de gestion.

  1. Tapez PowerShell dans le menu Démarrer, cliquez avec le bouton droit sur Windows PowerShell, puis sélectionnez Exécuter en tant qu’administrateur.

  2. Entrez l'applet de commande suivante :

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. Pour activer les règles de réduction de la surface d’attaque en mode audit, utilisez l’applet de commande suivante :

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. Pour désactiver les règles de réduction de la surface d’attaque, utilisez l’applet de commande suivante :

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. Vous devez spécifier un état individuellement pour chaque règle, mais vous pouvez combiner des règles et des états dans une liste séparée par des virgules.

  6. Dans l’exemple suivant, les deux premières règles sont activées, la troisième règle est désactivée et la quatrième règle est activée en mode audit :

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. Vous pouvez également utiliser le verbe PowerShell Add-MpPreference pour ajouter de nouvelles règles à la liste existante.

  8. Set-MpPreference remplacera toujours l’ensemble de règles existant. Si vous souhaitez ajouter à l’ensemble existant, vous devez plutôt utiliser Add-MpPreference. Vous pouvez obtenir la liste des règles et leur état actuel à l’aide de la fonction Get-MpPreference.

  9. Pour exclure des fichiers et des dossiers des règles de réduction de la surface d’attaque, utilisez l’applet de commande suivante :

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Continuez à utiliser Add-MpPreference-AttackSurfaceReductionOnlyExclusions pour ajouter d’autres fichiers et dossiers à la liste.

Important

Utilisez Add-MpPreference pour ajouter ou ajouter des applications à la liste. L’utilisation de l’applet de commande Set-MpPreference remplace la liste existante.

Liste des événements de réduction de la surface d’attaque

Tous les événements de réduction de la surface d’attaque se trouvent sous Journaux des applications et des services > Microsoft > Windows dans l’Observateur d’événements Windows.