Évaluation d’Exploit Protection

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Exploit Protection permet de protéger les appareils contre les programmes malveillants qui utilisent des attaques pour propager et infecter d’autres appareils. L’atténuation peut être appliquée au système d’exploitation ou à une application individuelle. La plupart des fonctionnalités qui faisaient partie de l’EMET (Enhanced Mitigation Experience Toolkit) sont incluses dans Exploit Protection. (L’EMET a atteint sa fin du support.)

Dans l’audit, vous pouvez voir le fonctionnement de l’atténuation pour certaines applications dans un environnement de test. Cela montre ce qui se serait passé si vous activiez Exploit Protection dans votre environnement de production. De cette façon, vous pouvez vérifier que Exploit Protection n’affecte pas vos applications métier et voir quels événements suspects ou malveillants se produisent.

Activer Exploit Protection pour les tests

Vous pouvez définir des atténuations dans un mode de test pour des programmes spécifiques à l’aide de l’application Sécurité Windows ou Windows PowerShell.

Ouvrez l’application Sécurité Windows.

1. Ouvrez l’application Sécurité Windows. Sélectionnez l’icône de bouclier dans la barre des tâches ou recherchez Windows Security dans le menu Démarrer.

2. Sélectionnez la vignette Contrôle Applications et navigateur (ou l’icône de l’application dans la barre de menus de gauche), puis sélectionnez Exploit Protection.

3. Accédez aux paramètres du programme et choisissez l’application à laquelle vous souhaitez appliquer la protection :

   1. Si l’application que vous souhaitez configurer est déjà répertoriée, sélectionnez-la, puis sélectionnez Modifier
   2. Si l’application n’est pas répertoriée en haut de la liste, sélectionnez Ajouter un programme à personnaliser. Ensuite, choisissez la façon dont vous souhaitez ajouter l’application.
      • Utilisez Ajouter par nom de programme pour appliquer l’atténuation à tout processus en cours d’exécution portant ce nom. Spécifiez un fichier avec une extension. Vous pouvez entrer un chemin d’accès complet pour limiter l’atténuation uniquement à l’application portant ce nom à cet emplacement.
      • Utilisez Choisir le chemin exact du fichier pour utiliser une fenêtre standard de sélecteur de fichiers Explorateur Windows pour rechercher et sélectionner le fichier souhaité.

4. Après avoir sélectionné l’application, vous verrez une liste de toutes les atténuations qui peuvent être appliquées. Le choix de l’option Audit applique l’atténuation en mode test uniquement. Vous serez averti si vous devez redémarrer le processus, l’application ou Windows.

5. Répétez cette procédure pour toutes les applications et atténuations que vous souhaitez configurer. Sélectionnez Appliquer lorsque vous avez terminé de paramétrer votre configuration.

PowerShell

Pour définir les atténuations au niveau de l’application en mode test, utilisez Set-ProcessMitigation avec l’applet de commande Mode Audit .

Configurez chaque atténuation au format suivant :

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Où :

• <Étendue> :
  • -Name pour indiquer que les atténuations doivent être appliquées à une application spécifique. Spécifiez l’exécutable de l’application après cet indicateur.
• <Action> :
  • -Enable pour activer l’atténuation
    • -Disable de désactiver l’atténuation
• <Atténuation :>
  • Cmdlet de l’atténuation telle que définie dans le tableau suivant. Chaque atténuation est séparée par une virgule.

Atténuation	Applet de commande du mode test
Arbitrary Code Guard (ACG)	AuditDynamicCode
Bloquer les images de faible intégrité	AuditImageLoad
Bloquer les polices non approuvées	AuditFont, FontAuditOnly
Protection de l’intégrité du code	AuditMicrosoftSigned, AuditStoreSigned
Désactiver les appels système Win32k	AuditSystemCall
Ne pas autoriser le blocage des processus enfants	AuditChildProcess

Par exemple, pour activer la protection de code arbitraire (ACG) en mode test pour une application nommée testing.exe, exécutez la commande suivante :

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Vous pouvez désactiver le mode audit en remplaçant -Enable par -Disable.

Examiner les événements d’audit Exploit Protection

Pour vérifier quelles applications auraient été bloquées, ouvrez observateur d'événements et filtrez les événements suivants dans le journal Security-Mitigations.

Fonctionnalité	Fournisseur/source	ID d’événement	Description
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	1	Audit ACG
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	3	Ne pas autoriser l’audit des processus enfants
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	5	Bloquer l’audit des images à faible intégrité
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	7	Bloquer l’audit des images distantes
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	9	Désactiver l’audit des appels système win32k
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	11	Audit de la protection d’intégrité du code

Voir aussi

• Activer la protection la protection contre les codes malveillants exploitant une faille de sécurité
• Configurer et auditer les atténuations de la protection contre le code malveillant exploitant une faille de sécurité
• Importer, exporter et déployer des configurations de protection contre les codes malveillants exploitant une faille de sécurité
• Résolution des problèmes de la protection contre le code malveillant exploitant une faille de sécurité

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.