Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans Windows 10 (ou version ultérieure) et Windows Server 2016 (ou plus récente), vous pouvez utiliser les fonctionnalités de protection de nouvelle génération offertes par Microsoft Defender Antivirus avec la protection contre les attaques.
Cet article explique comment activer et tester les principales fonctionnalités de protection dans Microsoft Defender Antivirus avec exploit protection, et vous fournit des conseils et des liens vers des informations supplémentaires.
Nous vous recommandons d’utiliser notre script PowerShell d’évaluation pour configurer ces fonctionnalités, mais vous pouvez activer chaque fonctionnalité individuellement avec les applets de commande décrites dans le reste de ce document.
Pour plus d’informations sur nos produits et services Endpoint Protection, consultez les ressources suivantes :
- Vue d’ensemble de la protection nouvelle génération
- Antivirus Microsoft Defender dans Windows
- Antivirus Microsoft Defender sur Windows Server
- Protéger les appareils contre les codes malveillants exploitant une faille de sécurité
Cet article décrit les options de configuration dans Windows 10 ou version ultérieure et Windows Server 2016 ou plus récente. Si vous avez des questions sur une détection que Microsoft Defender Antivirus effectue, ou si vous découvrez une détection manquée, vous pouvez nous envoyer un fichier sur notre site d’aide sur l’exemple de soumission.
Utiliser PowerShell pour activer les fonctionnalités
Ce guide fournit les applets de commande antivirus Microsoft Defender qui configurent les fonctionnalités que vous devez utiliser pour évaluer notre protection.
Pour utiliser ces applets de commande, ouvrez PowerShell en tant qu’administrateur, exécutez une commande, puis appuyez sur Entrée.
Vous pouvez case activée l’status de tous les paramètres avant de commencer ou pendant votre évaluation, en utilisant l’applet de commande PowerShell Get-MpPreference ou en installant le module DefenderEval à partir du PowerShell Gallery, puis en utilisant la Get-DefenderEvaluationReport commande .
Microsoft Defender Antivirus indique une détection par le biais de notifications Windows standard. Vous pouvez également passer en revue les détections dans l’application antivirus Microsoft Defender.
Le journal des événements Windows enregistre également les événements de détection et de moteur. Consultez l’article événements Microsoft Defender Antivirus pour obtenir la liste des ID d’événements et leurs actions correspondantes.
Fonctionnalités de protection cloud
Standard mises à jour de définition peuvent prendre des heures à préparer et à fournir ; notre service de protection cloud peut fournir cette protection en quelques secondes.
Pour plus d’informations, consultez Protection cloud et antivirus Microsoft Defender.
| Description | Commande PowerShell |
|---|---|
| Activer le cloud Microsoft Defender pour une protection quasi instantanée et une protection accrue | Set-MpPreference -MAPSReporting Advanced |
| Envoyer automatiquement des exemples pour améliorer la protection des groupes | Set-MpPreference -SubmitSamplesConsent Always |
| Toujours utiliser le cloud pour bloquer les nouveaux programmes malveillants en quelques secondes | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Analyser tous les fichiers et pièces jointes téléchargés | Set-MpPreference -DisableIOAVProtection 0 |
| Définissez niveau de bloc cloud sur Élevé | Set-MpPreference -CloudBlockLevel High |
| Délai d’expiration du bloc cloud à jeu élevé à 1 minute | Set-MpPreference -CloudExtendedTimeout 50 |
Protection Always On (analyse en temps réel)
Microsoft Defender Antivirus analyse les fichiers dès qu’ils sont vus par Windows, surveille les processus en cours d’exécution pour détecter les comportements malveillants connus ou suspects. Si le moteur antivirus détecte une modification malveillante, bloque immédiatement l’exécution du processus ou du fichier.
Pour plus d’informations sur ces options, consultez Configurer la protection comportementale, heuristique et en temps réel.
| Description | Commande PowerShell |
|---|---|
| Surveiller constamment les fichiers et les processus pour les modifications connues des programmes malveillants | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Surveiller en permanence les comportements connus des programmes malveillants, même dans les fichiers qui ne sont pas considérés comme une menace, et les programmes en cours d’exécution | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Analyser les scripts dès qu’ils sont vus ou exécutés | Set-MpPreference -DisableScriptScanning 0 |
| Analyser les lecteurs amovibles dès qu’ils sont insérés ou montés | Set-MpPreference -DisableRemovableDriveScanning 0 |
Protection des applications potentiellement indésirables
Les applications potentiellement indésirables sont des fichiers et des applications qui ne sont traditionnellement pas classés comme malveillants. Ces applications incluent des programmes d’installation non-Microsoft pour les logiciels courants, l’injection de publicité et certains types de barres d’outils dans votre navigateur.
| Description | Commande PowerShell |
|---|---|
| Empêcher l’installation des graywares, des logiciels de publicité et d’autres applications potentiellement indésirables | Set-MpPreference -PUAProtection Enabled |
analyse Email et archive
Vous pouvez configurer Microsoft Defender Antivirus pour analyser automatiquement certains types de fichiers de courrier électronique et de fichiers d’archive (tels que les fichiers .zip) lorsqu’ils sont vus par Windows. Pour plus d’informations, consultez Analyses de messagerie managées dans Microsoft Defender.
| Description | Commande PowerShell |
|---|---|
| Analyser les fichiers de courrier électronique et les archives |
Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0
|
Gérer les mises à jour de produits et de protection
En règle générale, vous recevez Microsoft Defender mises à jour antivirus de Windows Update une fois par jour. Toutefois, vous pouvez augmenter la fréquence de ces mises à jour en définissant les options suivantes et en veillant à ce que vos mises à jour soient gérées soit dans System Center Configuration Manager, avec stratégie de groupe, soit dans Intune.
| Description | Commande PowerShell |
|---|---|
| Mettre à jour les signatures tous les jours | Set-MpPreference -SignatureUpdateInterval |
| Vérifier la mise à jour des signatures avant d’exécuter une analyse planifiée | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Protection avancée contre les menaces et les attaques et prévention Accès contrôlé aux dossiers
Exploit Protection fournit des fonctionnalités qui aident à protéger les appareils contre les comportements malveillants connus et les attaques sur les technologies vulnérables.
| Description | Commande PowerShell |
|---|---|
| Empêcher les applications malveillantes et suspectes (telles que les rançongiciels) d’apporter des modifications aux dossiers protégés avec accès contrôlé aux dossiers | Set-MpPreference -EnableControlledFolderAccess Enabled |
| Bloquer les connexions à des adresses IP incorrectes connues et à d’autres connexions réseau avec protection réseau | Set-MpPreference -EnableNetworkProtection Enabled |
| Appliquer un ensemble standard d’atténuations avec Exploit Protection | Invoke-WebRequesthttps://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xmlSet-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Bloquer les vecteurs d’attaque malveillants connus avec la réduction de la surface d’attaque | Add-MpPreference -AttackSurfaceReductionRules\_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules\_Actions Enabled |
Certaines règles peuvent bloquer le comportement que vous trouvez acceptable dans votre organization. Dans ce cas, modifiez la règle de Enabled à Audit pour empêcher les blocs indésirables.
Activer la protection contre les falsifications
Dans le portail Microsoft Defender, accédez à Paramètres Points> de terminaisonFonctionnalités avancées>Protection contre> lesfalsifications>activé.
Pour plus d’informations, consultez Comment faire configurer ou gérer la protection contre les falsifications.
Vérifier la connectivité réseau Cloud Protection
Il est important de case activée que la connectivité réseau Cloud Protection fonctionne pendant les tests de votre stylet. À l’aide de l’invite de commandes en tant qu’administrateur, exécutez la commande suivante :
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Pour plus d’informations, consultez Utiliser l’outil cmdline pour valider la protection fournie par le cloud.
Analyse en une seule sélection Microsoft Defender hors connexion
Microsoft Defender l’analyse hors connexion est un outil spécialisé fourni avec Windows 10 ou une version plus récente, et qui vous permet de démarrer une machine dans un environnement dédié en dehors du système d’exploitation normal. Il est particulièrement utile pour les programmes malveillants puissants, tels que les rootkits.
Pour plus d’informations, consultez Microsoft Defender hors connexion.
| Description | Commande PowerShell |
|---|---|
| Vérifiez que les notifications vous permettent de démarrer l’appareil dans un environnement de suppression de programmes malveillants spécialisé | Set-MpPreference -UILockdown 0 |