Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des informations sur Microsoft Defender pour point de terminaison règles de réduction de la surface d’attaque (règles ASR) :
- Versions de système d’exploitation prises en charge par les règles ASR
- Règles ASR prises en charge des systèmes de gestion de configuration
- Par règle ASR, détails de l’alerte et de la notification
- Règle ASR en matrice GUID
- Modes de règle ASR
- Descriptions par règle
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Conseil
En complément de cet article, consultez notre guide de configuration Microsoft Defender pour point de terminaison pour passer en revue les meilleures pratiques et en savoir plus sur les outils essentiels tels que la réduction de la surface d’attaque et la protection nouvelle génération. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Defender pour point de terminaison dans le Centre d’administration Microsoft 365.
Configuration requise
Systèmes d’exploitation pris en charge
- Windows
Règles de réduction de la surface d’attaque par type
Les règles de réduction de la surface d’attaque sont classées comme l’un des deux types suivants :
Standard règles de protection : ensemble minimal de règles que Microsoft recommande de toujours activer, pendant que vous évaluez l’effet et les besoins de configuration des autres règles ASR. Ces règles ont généralement un effet minime ou nul sur l’utilisateur final.
Autres règles : règles qui nécessitent une certaine mesure de suivre les étapes de déploiement documentées [Planifier > le test (audit) > Activer (modes bloquer/avertir)], comme indiqué dans le guide de déploiement des règles de réduction de la surface d’attaque.
Pour obtenir la méthode la plus simple permettant d’activer les règles de protection standard, consultez Option de protection standard simplifiée.
| Nom de la règle ASR | Standard protection Règle? |
Autre Règle? |
|---|---|---|
| Bloquer les abus de conducteurs vulnérables exploités signés | Oui | |
| Empêcher Adobe Reader de créer des processus enfants¹ | Oui | |
| Empêcher toutes les applications Office de créer des processus enfants | Oui | |
| Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe)¹ ² | Oui | |
| Bloquer le contenu exécutable du client de messagerie et de la messagerie web | Oui | |
| Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste approuvée³ | Oui | |
| Bloquer l’exécution de scripts potentiellement obfusqués | Oui | |
| Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé | Oui | |
| Empêcher les applications Office de créer du contenu exécutable¹ | Oui | |
| Empêcher les applications Office d’injecter du code dans d’autres processus¹ ² | Oui | |
| Empêcher l’application de communication Office de créer des processus enfants¹ | Oui | |
| Bloquer la persistance via un abonnement aux événements WMI | Oui | |
| Bloquer les créations de processus provenant des commandes PSExec et WMI¹ | Oui | |
| Bloquer le redémarrage de l’ordinateur en mode sans échec | Oui | |
| Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB | Oui | |
| Bloquer l’utilisation des outils système copiés ou usurpés d’identité | Oui | |
| Bloquer la création de webshell pour les serveurs | Oui | |
| Bloquer les appels d’API Win32 à partir des macros Office⁴ | Oui | |
| Utiliser une protection avancée contre les rançongiciels | Oui |
¹ Cette règle ASR ne respecte pas Microsoft Defender exclusions antivirus. Pour plus d’informations sur la configuration des exclusions ASR par règle, consultez Configurer les exclusions de réduction de la surface d’attaque par règle.
² Cette règle ASR ne respecte pas Microsoft Defender pour point de terminaison indicateurs de compromission (IOC) pour les fichiers ou les certificats.
³ Actuellement, cette règle ASR n’est peut-être pas disponible dans la configuration de la stratégie de réduction de la surface d’attaque Intune en raison d’un problème de back-end connu. Toutefois, la règle existe toujours et est disponible via d’autres méthodes. Par exemple, Microsoft Defender pour point de terminaison la gestion des paramètres de sécurité, le fournisseur de services de configuration (CSP), Add-MpPreference ou la configuration de stratégie ASR Intune existante dans les règles créées avant le problème.
⁴ Cette règle ASR ne respecte pas Microsoft Defender pour point de terminaison indicateurs de compromission (IOC) pour les certificats.
Systèmes d’exploitation pris en charge par les règles ASR
Le tableau suivant répertorie les systèmes d’exploitation pris en charge pour les règles actuellement publiées en disponibilité générale. Les règles sont répertoriées par ordre alphabétique dans ce tableau.
Remarque
Sauf indication contraire, la build Windows 10 minimale est la version 1709 (RS3, build 16299) ou ultérieure ; la version Windows Server minimale est la version 1809 ou ultérieure. Les règles de réduction de la surface d’attaque dans Windows Server 2012 R2 et Windows Server 2016 sont disponibles pour les appareils intégrés à l’aide du package de solution unifiée moderne. Pour plus d’informations, consultez Nouvelles fonctionnalités Windows Server 2012 R2 et 2016 dans la solution unifiée moderne.
*Actuellement, cette règle ASR peut ne pas être disponible dans la configuration de la stratégie de réduction de la surface d’attaque Intune en raison d’un problème de back-end connu. Toutefois, la règle existe toujours et est disponible via d’autres méthodes. Par exemple, Microsoft Defender pour point de terminaison la gestion des paramètres de sécurité, le fournisseur de services de configuration (CSP), Add-MpPreference ou la configuration de stratégie ASR Intune existante dans les règles créées avant le problème).
Remarque
- Pour Windows Server 2012 R2 et Windows Server 2016, consultez Intégrer Windows Server 2016 et Windows Server 2012 R2.
- Si vous utilisez Configuration Manager, la version minimale requise de Microsoft Endpoint Configuration Manager est la version 2111.
Règles ASR prises en charge des systèmes de gestion de configuration
Les liens vers des informations sur les versions du système de gestion de la configuration référencées dans ce tableau sont répertoriés sous ce tableau.
(1) Vous pouvez configurer des règles de réduction de la surface d’attaque par règle à l’aide du GUID de n’importe quelle règle.
*Actuellement, cette règle ASR peut ne pas être disponible dans la configuration de la stratégie de réduction de la surface d’attaque Intune en raison d’un problème de back-end connu. Toutefois, la règle existe toujours et est disponible via d’autres méthodes. Par exemple, Microsoft Defender pour point de terminaison la gestion des paramètres de sécurité, le fournisseur de services de configuration (CSP), Add-MpPreference ou la configuration de stratégie ASR Intune existante dans les règles créées avant le problème).
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM est maintenant Microsoft Configuration Manager.
Par règle ASR, détails de l’alerte et de la notification
Les notifications toast sont générées pour toutes les règles en mode Bloc. Les règles dans un autre mode ne génèrent pas de notifications toast.
Pour les règles dont l’état de la règle est spécifié :
- Les règles ASR avec
\ASR Rule, Rule State\combinaisons sont utilisées pour exposer des alertes (notifications toast) sur Microsoft Defender pour point de terminaison uniquement pour les appareils définis au niveauHighdu bloc cloud. - Les appareils qui ne sont pas définis au niveau
Highdu bloc cloud ne génèrent pas d’alertes pour lesASR Rule, Rule Statecombinaisons. - Les alertes de détection et de réponse de point de terminaison (EDR) sont générées pour les règles ASR dans les états spécifiés, pour les appareils définis au niveau
High+du bloc cloud. - Les notifications toast se produisent en mode bloc uniquement et pour les appareils définis au niveau
Highdu bloc cloud.
*Actuellement, cette règle ASR peut ne pas être disponible dans la configuration de la stratégie de réduction de la surface d’attaque Intune en raison d’un problème de back-end connu. Toutefois, la règle existe toujours et est disponible via d’autres méthodes. Par exemple, Microsoft Defender pour point de terminaison la gestion des paramètres de sécurité, le fournisseur de services de configuration (CSP), Add-MpPreference ou la configuration de stratégie ASR Intune existante dans les règles créées avant le problème).
Règle ASR en matrice GUID
| Nom de la règle | GUID de règle |
|---|---|
| Bloquer les abus de conducteurs vulnérables exploités signés | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Empêcher Adobe Reader de créer des processus enfants | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Empêcher toutes les applications Office de créer des processus enfants | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Bloquer le contenu exécutable du client de messagerie et de la messagerie web | be9ba2d9-53ea-4cdc-84e5-9b1eeeeee46550 |
| Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance* | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Bloquer l’exécution de scripts potentiellement obfusqués | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé | d3e037e1-3eb8-44c8-a917-57927947596d |
| Empêcher les applications Office de créer du contenu exécutable | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Empêcher les applications Office d’injecter du code dans d’autres processus | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Empêcher l’application de communication Office de créer des processus enfants | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Bloquer la persistance via un abonnement aux événements WMI * Exclusions de fichiers et de dossiers non prises en charge. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Bloquer les créations de processus provenant des commandes PSExec et WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Bloquer le redémarrage de l’ordinateur en mode sans échec | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Bloquer l’utilisation des outils système copiés ou usurpés d’identité | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Bloquer la création de webshell pour les serveurs | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Bloquer les appels d’API Win32 à partir de macros Office | 92e97fa1-2edf-4476-bdd6-9dd0b4ddddc7b |
| Utiliser une protection avancée contre les rançongiciels | c1db55ab-c21a-4637-bb3f-a12568109d35 |
*Actuellement, cette règle ASR peut ne pas être disponible dans la configuration de la stratégie de réduction de la surface d’attaque Intune en raison d’un problème de back-end connu. Toutefois, la règle existe toujours et est disponible via d’autres méthodes. Par exemple, Microsoft Defender pour point de terminaison la gestion des paramètres de sécurité, le fournisseur de services de configuration (CSP), Add-MpPreference ou la configuration de stratégie ASR Intune existante dans les règles créées avant le problème).
Modes de règle ASR
| Mode règle | Code | Description |
|---|---|---|
| Non configuré ou désactivé | 0 | La règle ASR n’est pas activée ou est désactivée. |
| Bloquer | 1 | La règle ASR est activée en mode bloc. |
| Audit | 2 | La règle ASR est évaluée pour l’effet sur l’environnement si elle est activée en mode Bloquer ou Avertir. |
| Avertir | 6 | La règle ASR est activée et présente une notification à l’utilisateur, mais l’utilisateur peut contourner le blocage. |
L’avertissement est un type de bloc qui avertit les utilisateurs des actions potentiellement risquées via une fenêtre contextuelle d’avertissement. Les utilisateurs peuvent sélectionner OK pour appliquer le bloc, ou sélectionner Débloquer pour contourner le bloc pendant les prochaines 24 heures. Après 24 heures, l’utilisateur doit autoriser à nouveau le bloc.
Le mode d’avertissement pour les règles ASR est pris en charge uniquement dans Windows 10 version 1809 ou ultérieure. Les versions antérieures de Windows 10 avec une règle de mode d’avertissement affectée sont en fait en mode Bloc.
Dans PowerShell, vous pouvez créer une règle ASR en mode avertissement en spécifiant le paramètre AttackSurfaceReductionRules_Actions avec la valeur Warn. Par exemple :
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Descriptions par règle
Bloquer les abus de conducteurs vulnérables exploités signés
Remarque
Pour protéger votre environnement contre les pilotes vulnérables, vous devez d’abord implémenter les méthodes suivantes :
- Pour Windows 10 ou version ultérieure, Windows Server 2016 ou version ultérieure à l’aide de Microsoft App Control for Business, vous devez bloquer tous les pilotes par défaut et autoriser uniquement les pilotes que vous jugez nécessaires et qui ne sont pas connus pour être vulnérables.
- Pour les Windows 8.1 ou les versions antérieures, Windows Server 2012 R2 ou antérieures, à l’aide de Microsoft AppLocker, vous devez bloquer tous les pilotes par défaut et autoriser uniquement les pilotes que vous jugez nécessaires et qui ne sont pas connus pour être vulnérables.
- Pour Windows 11 ou version ultérieure, et Windows Server core 1809 ou version ultérieure, ou Windows Server 2019 ou version ultérieure, vous devez également activer la liste de blocage des pilotes microsoft Windows vulnérables. Ensuite, en tant qu’autre couche de défense, vous devez activer cette règle de réduction de la surface d’attaque.
Cette règle empêche une application d’écrire un pilote signé vulnérable sur le disque. Les applications locales avec des privilèges suffisants peuvent exploiter des pilotes signés vulnérables pour accéder au noyau. Les pilotes signés vulnérables permettent aux attaquants de désactiver ou de contourner les solutions de sécurité, ce qui aboutit à la compromission du système.
La règle Bloquer l’abus des pilotes signés vulnérables exploités n’empêche pas le chargement d’un pilote existant déjà sur le système.
Remarque
Vous pouvez configurer cette règle à l’aide de Intune OMA-URI. Consultez Intune OMA-URI pour configurer des règles personnalisées. Vous pouvez également configurer cette règle à l’aide de PowerShell. Pour qu’un pilote soit examiné, utilisez ce site Web pour soumettre un pilote à des fins d’analyse.
nom de Intune :Block abuse of exploited vulnerable signed drivers
nom de Configuration Manager : pas encore disponible
GUID : 56a863a9-875e-4185-98a7-b882c64b5ce5
Type d’action de chasse avancée :
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Empêcher Adobe Reader de créer des processus enfants
Cette règle empêche les attaques en empêchant Adobe Reader de créer des processus.
Les programmes malveillants peuvent télécharger et lancer des charges utiles et sortir d’Adobe Reader par le biais d’une ingénierie sociale ou d’exploits. En empêchant Adobe Reader de générer des processus enfants, les programmes malveillants qui tentent d’utiliser Adobe Reader comme vecteur d’attaque sont empêchés de se propager.
nom de Intune :Process creation from Adobe Reader (beta)
nom de Configuration Manager : pas encore disponible
GUID : 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Type d’action de chasse avancée :
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Dépendances : antivirus Microsoft Defender
Empêcher toutes les applications Office de créer des processus enfants
Cette règle empêche les applications Office de créer des processus enfants. Les applications Office incluent Word, Excel, PowerPoint, OneNote et Access.
La création de processus enfants malveillants est une stratégie de programme malveillant courante. Les programmes malveillants qui abusent d’Office en tant que vecteur exécutent souvent des macros VBA et exploitent du code pour télécharger et tenter d’exécuter davantage de charges utiles. Toutefois, certaines applications métier légitimes peuvent également générer des processus enfants à des fins bénignes. Par exemple, la génération d’une invite de commandes ou l’utilisation de PowerShell pour configurer les paramètres du Registre.
nom de Intune :Office apps launching child processes
nom de Configuration Manager :Block Office application from creating child processes
GUID : d4f940ab-401b-4efc-aadc-ad5f3c50688a
Type d’action de chasse avancée :
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Dépendances : antivirus Microsoft Defender
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows
Remarque
Si la protection LSA est activée, cette règle de réduction de la surface d’attaque n’est pas nécessaire. Pour une posture plus sécurisée, nous vous recommandons également d’activer Credential Guard avec la protection LSA.
Si la protection LSA est activée, la règle ASR est classée comme non applicable dans les paramètres de gestion de Defender pour point de terminaison du portail Microsoft Defender.
Cette règle permet d’empêcher le vol d’informations d’identification en verrouillant le service LSASS (Local Security Authority Subsystem Service).
LSASS authentifie les utilisateurs qui se connectent sur un ordinateur Windows. Credential Guard dans Windows empêche normalement les tentatives d’extraction d’informations d’identification à partir de LSASS. Certaines organisations ne peuvent pas activer Credential Guard sur tous leurs ordinateurs en raison de problèmes de compatibilité avec les pilotes de carte à puce personnalisés ou d’autres programmes qui se chargent dans l’autorité de sécurité locale (LSA). Dans ce cas, les attaquants peuvent utiliser des outils tels que Mimikatz pour récupérer des mots de passe en texte clair et des hachages NTLM à partir de LSASS.
Par défaut, l’état de cette règle est défini sur non configuré (désactivé). Dans la plupart des cas, de nombreux processus effectuent des appels à LSASS pour obtenir des droits d’accès qui ne sont pas nécessaires. Par exemple, lorsque le blocage initial de la règle ASR entraîne un appel ultérieur pour un privilège inférieur qui réussit. Pour plus d’informations sur les types de droits généralement demandés dans les appels de processus à LSASS, consultez Traiter les droits de sécurité et d’accès.
L’activation de cette règle n’offre pas de protection supplémentaire si la protection LSA est activée, car la règle ASR et la protection LSA fonctionnent de la même façon. Toutefois, si vous ne pouvez pas activer la protection LSA, vous pouvez configurer cette règle pour fournir une protection équivalente contre les programmes malveillants qui ciblent lsass.exe.
Conseil
- Les événements d’audit ASR ne génèrent pas de notifications toast. La règle ASR LSASS produit un grand volume d’événements d’audit, qui peuvent presque tous être ignorés lorsque la règle est activée en mode bloc. Vous pouvez choisir d’ignorer l’évaluation du mode audit et de passer au déploiement en mode bloc. Nous vous recommandons de commencer avec un petit ensemble d’appareils et de l’étendre progressivement pour couvrir le reste.
- La règle est conçue pour supprimer les rapports/toasts de blocs pour les processus conviviaux. Il est également conçu pour supprimer des rapports pour les blocs en double. Par conséquent, la règle est bien adaptée pour être activée en mode bloc, que les notifications toast soient activées ou désactivées.
- L’ASR en mode d’avertissement est conçu pour présenter aux utilisateurs une notification toast de bloc qui inclut un bouton « Débloquer ». En raison de la nature « sûre à ignorer » des blocs ASR LSASS et de leur grand volume, le mode WARN n’est pas recommandé pour cette règle (que les notifications toast soient activées ou désactivées).
- Cette règle est conçue pour empêcher les processus d’accéder à LSASS.EXE mémoire de processus. Cela ne les empêche pas de s’exécuter. Si vous voyez des processus comme svchost.exe bloqués, cela empêche uniquement l’accès à la mémoire de processus LSASS. Ainsi, svchost.exe et d’autres processus peuvent être ignorés en toute sécurité. La seule exception concerne les problèmes connus suivants.
Remarque
Dans ce scénario, la règle ASR est classée comme « non applicable » dans les paramètres Defender pour point de terminaison du portail Microsoft Defender.
La règle ASR Bloquer le vol d’informations d’identification du sous-système d’autorité de sécurité locale Windows ne prend pas en charge le mode d’avertissement.
Dans certaines applications, le code énumère tous les processus en cours d’exécution et tente de les ouvrir avec des autorisations exhaustives. Cette règle refuse l’action d’ouverture du processus de l’application et enregistre les détails dans le journal des événements de sécurité. Cette règle peut générer de nombreux bruits. Si vous avez une application qui énumère simplement LSASS, mais n’a aucun effet réel sur les fonctionnalités, il n’est pas nécessaire de l’ajouter à la liste d’exclusions. En soi, cette entrée du journal des événements n’indique pas nécessairement une menace malveillante.
nom de Intune :Flag credential stealing from the Windows local security authority subsystem
nom de Configuration Manager :Block credential stealing from the Windows local security authority subsystem
GUID : 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Type d’action de chasse avancée :
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Dépendances : antivirus Microsoft Defender
Problèmes connus : Ces applications et la règle « Bloquer le vol d’informations d’identification du sous-système d’autorité de sécurité locale Windows » sont incompatibles :
| Nom de l’application | Pour plus d’informations |
|---|---|
| Synchronisation du mot de passe Dirsync de la quête | La synchronisation de mot de passe Dirsync ne fonctionne pas lorsque Windows Defender est installé, erreur : « Échec de VirtualAllocEx : 5 » (4253914) |
Pour obtenir un support technique, contactez l’éditeur du logiciel.
Bloquer le contenu exécutable du client de messagerie et de la messagerie web
Cette règle empêche les e-mails ouverts dans l’application Microsoft Outlook, ou Outlook.com et d’autres fournisseurs de messagerie web populaires de propager les types de fichiers suivants :
Fichiers exécutables (tels que .exe, .dll ou .scr)
Fichiers de script (tels qu’un fichier PowerShell.ps1, Visual Basic .vbs ou JavaScript .js)
Archive fichiers (tels que .zip et autres)
nom de Intune :Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager nom :Block executable content from email client and webmail
GUID : be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Type d’action de chasse avancée :
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Dépendances : antivirus Microsoft Defender
Remarque
La règle Bloquer le contenu exécutable du client de messagerie et de la messagerie web contient les descriptions alternatives suivantes, selon l’application que vous utilisez :
- Intune (profils de configuration) : exécution du contenu exécutable (exe, dll, ps, js, vbs, etc.) supprimé de l’e-mail (webmail/client de messagerie) (aucune exception).
- Configuration Manager : Bloquer le téléchargement de contenu exécutable à partir des clients de messagerie et de messagerie web.
- stratégie de groupe : bloquer le contenu exécutable du client de messagerie et de la messagerie web.
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance
Conseil
*Actuellement, cette règle ASR peut ne pas être disponible dans la configuration de la stratégie de réduction de la surface d’attaque Intune en raison d’un problème de back-end connu. Toutefois, la règle existe toujours et est disponible via d’autres méthodes. Par exemple, Microsoft Defender pour point de terminaison la gestion des paramètres de sécurité, le fournisseur de services de configuration (CSP), Add-MpPreference ou la configuration de stratégie ASR Intune existante dans les règles créées avant le problème).
Cette règle empêche le lancement des fichiers exécutables, tels que .exe, .dll ou .scr. Par conséquent, le lancement de fichiers exécutables non approuvés ou inconnus peut être risqué, car il peut ne pas être clair au départ si les fichiers sont malveillants.
Importante
Vous devez activer la protection fournie par le cloud pour utiliser cette règle. Cette règle utilise la protection fournie par le cloud pour mettre à jour régulièrement sa liste approuvée. Vous pouvez spécifier des fichiers ou dossiers individuels à l’aide de chemins d’accès aux dossiers ou de noms de ressources complets. Il prend également en charge le paramètre ASROnlyPerRuleExclusions .
nom de Intune :Executables that don't meet a prevalence, age, or trusted list criteria
nom de Configuration Manager :Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID : 01443614-cd74-433a-b99e-2ecdc07bfc25
Type d’action de chasse avancée :
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Dépendances : antivirus Microsoft Defender, protection cloud
Bloquer l’exécution de scripts potentiellement obfusqués
Cette règle détecte les propriétés suspectes dans un script obfusqué.
Remarque
Les scripts PowerShell sont désormais pris en charge pour la règle « Bloquer l’exécution de scripts potentiellement obfusqués ».
Importante
Vous devez activer la protection fournie par le cloud pour utiliser cette règle.
L’obfuscation de script est une technique courante que les auteurs de programmes malveillants et les applications légitimes utilisent pour masquer la propriété intellectuelle ou réduire les temps de chargement des scripts. Les auteurs de programmes malveillants utilisent également l’obfuscation pour rendre le code malveillant plus difficile à lire, ce qui empêche l’examen de près par les humains et les logiciels de sécurité.
nom de Intune :Obfuscated js/vbs/ps/macro code
nom de Configuration Manager :Block execution of potentially obfuscated scripts
GUID : 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Type d’action de chasse avancée :
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Dépendances : antivirus Microsoft Defender, interface d’analyse anti-programme malveillant (AMSI), Protection cloud
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé
Cette règle empêche les scripts de lancer du contenu téléchargé potentiellement malveillant. Les logiciels malveillants écrits en JavaScript ou VBScript agissent souvent comme un téléchargeur pour extraire et lancer d’autres programmes malveillants à partir d’Internet. Bien qu’elles ne soient pas courantes, les applications métier utilisent parfois des scripts pour télécharger et lancer des programmes d’installation.
nom de Intune :js/vbs executing payload downloaded from Internet (no exceptions)
nom de Configuration Manager :Block JavaScript or VBScript from launching downloaded executable content
GUID : d3e037e1-3eb8-44c8-a917-57927947596d
Type d’action de chasse avancée :
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Dépendances : antivirus Microsoft Defender, AMSI
Empêcher les applications Office de créer du contenu exécutable
Cette règle empêche les applications Office, notamment Word, Excel et PowerPoint, d’être utilisées comme vecteur pour conserver du code malveillant sur le disque. Les programmes malveillants qui abusent d’Office en tant que vecteur peuvent tenter d’enregistrer des composants malveillants sur le disque qui survivraient à un redémarrage de l’ordinateur et persistaient sur le système. Cette règle se défend contre cette technique de persistance en bloquant l’accès (ouvrir/exécuter) au code écrit sur le disque. Cette règle bloque également l’exécution des fichiers non approuvés qui ont pu être enregistrés par des macros Office autorisées à s’exécuter dans des fichiers Office.
nom de Intune :Office apps/macros creating executable content
nom de Configuration Manager :Block Office applications from creating executable content
GUID : 3b576869-a4ec-4529-8536-b80a7769e899
Type d’action de chasse avancée :
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Dépendances : antivirus Microsoft Defender, RPC
Empêcher les applications Office d’injecter du code dans d’autres processus
Cette règle bloque les tentatives d’injection de code des applications Office dans d’autres processus.
Remarque
La règle Empêcher les applications d’injecter du code dans d’autres processus ASR ne prend pas en charge le mode WARN.
Importante
Cette règle nécessite le redémarrage de Microsoft 365 Apps (applications Office) pour que les modifications de configuration prennent effet.
Les attaquants peuvent tenter d’utiliser des applications Office pour migrer du code malveillant vers d’autres processus via l’injection de code, de sorte que le code peut se faire passer pour un processus propre. Il n’existe pas d’objectif commercial légitime connu pour l’utilisation de l’injection de code.
Cette règle s’applique à Word, Excel, OneNote et PowerPoint.
nom de Intune :Office apps injecting code into other processes (no exceptions)
nom de Configuration Manager :Block Office applications from injecting code into other processes
GUID : 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Type d’action de chasse avancée :
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Dépendances : antivirus Microsoft Defender
Problèmes connus : Ces applications et la règle « Bloquer les applications Office d’injecter du code dans d’autres processus » sont incompatibles :
| Nom de l’application | Pour plus d’informations |
|---|---|
| Avecto (BeyondTrust) Privilege Guard | Septembre-2024 (Plateforme : 4.18.24090.11 |Moteur 1.1.24090.11). |
| Sécurité Heimdal | s/o |
Pour obtenir un support technique, contactez l’éditeur du logiciel.
Empêcher l’application de communication Office de créer des processus enfants
Cette règle empêche Outlook de créer des processus enfants, tout en autorisant les fonctions Outlook légitimes. Cette règle protège contre les attaques d’ingénierie sociale et empêche l’exploitation du code d’abuser des vulnérabilités dans Outlook. Il protège également contre les règles et les attaques de formulaires Outlook que les attaquants peuvent utiliser quand les informations d’identification d’un utilisateur sont compromises.
nom de Intune :Process creation from Office communication products (beta)
Configuration Manager nom : non disponible
GUID : 26190899-1602-49e8-8b27-eb1d0a1ce869
Type d’action de chasse avancée :
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Dépendances : antivirus Microsoft Defender
Bloquer la persistance via un abonnement aux événements WMI
Cette règle empêche les programmes malveillants d’utiliser WMI à mauvais escient pour obtenir une persistance sur un appareil.
Les menaces sans fichier emploient diverses tactiques pour rester cachées, éviter d’être vues dans le système de fichiers et obtenir un contrôle d’exécution périodique. Certaines menaces peuvent utiliser à mauvais escient le dépôt WMI et le modèle d’événement pour rester cachées.
Remarque
Si vous utilisez Configuration Manager (CM, anciennement MEMCM ou SCCM) avec CcmExec.exe (agent SCCM), nous vous recommandons de l’exécuter en mode audit pendant au moins 60 jours.
Une fois que vous êtes prêt à passer en mode bloc, veillez à déployer les règles ASR appropriées, en tenant compte des exclusions de règle nécessaires.
nom de Intune :Persistence through WMI event subscription
Configuration Manager nom : non disponible
GUID : e6db77e5-3df2-4cf1-b95a-636979351e5b
Type d’action de chasse avancée :
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Dépendances : antivirus Microsoft Defender, RPC
Bloquer les créations de processus provenant des commandes PSExec et WMI
Cette règle empêche l’exécution des processus créés via PsExec et WMI . PsExec et WMI peuvent exécuter du code à distance. Il existe un risque de programmes malveillants qui abusent des fonctionnalités de PsExec et WMI à des fins de commande et de contrôle, ou de propager une infection sur le réseau d’un organization.
Avertissement
Utilisez cette règle uniquement si vous gérez vos appareils avec Intune ou une autre solution MDM. Cette règle n’est pas compatible avec la gestion via Microsoft Endpoint Configuration Manager, car elle bloque les commandes WMI que le client Configuration Manager utilise pour fonctionner correctement.
nom de Intune :Process creation from PSExec and WMI commands
nom de Configuration Manager : Non applicable
GUID : d1e49aac-8f56-4280-b9ba-993a6d77406c
Type d’action de chasse avancée :
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Dépendances : antivirus Microsoft Defender
Bloquer le redémarrage de l’ordinateur en mode sans échec
Cette règle empêche l’exécution de certaines commandes pour redémarrer des machines en mode sans échec. En mode sans échec, de nombreux produits de sécurité sont désactivés ou fonctionnent dans une capacité limitée. Cet effet permet aux attaquants de lancer davantage de commandes de falsification, ou d’exécuter et de chiffrer tous les fichiers sur l’ordinateur. Cette règle bloque l’utilisation abusive du mode sans échec en empêchant les commandes couramment utilisées comme bcdedit et bootcfg de redémarrer des machines en mode sans échec. Le mode sans échec est toujours accessible manuellement à partir de l’environnement de récupération Windows.
nom de Intune :Block rebooting machine in Safe Mode
nom de Configuration Manager : pas encore disponible
GUID : 33ddedf1-c6e0-47cb-833e-de6133960387
Type d’action de chasse avancée :
AsrSafeModeRebootedAuditedAsrSafeModeRebootBlockedAsrSafeModeRebootWarnBypassed
Dépendances : antivirus Microsoft Defender
Remarque
Actuellement, la gestion des menaces et des vulnérabilités ne reconnaît pas cette règle. Par conséquent, le rapport sur la règle de réduction de la surface d’attaque l’affiche comme « Non applicable ».
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB
Avec cette règle, les administrateurs peuvent empêcher l’exécution de fichiers exécutables non signés ou non approuvés à partir de lecteurs usb amovibles, y compris les cartes SD. Les types de fichiers bloqués incluent les fichiers exécutables (tels que .exe, .dll ou .scr)
Importante
Cette règle bloque les fichiers copiés de l’USB vers le lecteur de disque si et quand il est sur le point d’être exécuté sur le lecteur de disque.
nom de Intune :Untrusted and unsigned processes that run from USB
nom de Configuration Manager :Block untrusted and unsigned processes that run from USB
GUID : b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Type d’action de chasse avancée :
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Dépendances : antivirus Microsoft Defender
Bloquer l’utilisation des outils système copiés ou usurpés d’identité
Cette règle bloque l’utilisation des fichiers exécutables identifiés en tant que copies des outils système Windows. Ces fichiers sont des doublons ou des imposteurs des outils système d’origine. Certains programmes malveillants peuvent essayer de copier ou d’emprunter l’identité des outils système Windows pour éviter la détection ou obtenir des privilèges. L’autorisation de ces fichiers exécutables peut entraîner des attaques potentielles. Cette règle empêche la propagation et l’exécution de tels doublons et imposteurs des outils système sur les machines Windows.
nom de Intune :Block use of copied or impersonated system tools
nom de Configuration Manager : pas encore disponible
GUID : c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Type d’action de chasse avancée :
AsrAbusedSystemToolAuditedAsrAbusedSystemToolBlockedAsrAbusedSystemToolWarnBypassed
Dépendances : antivirus Microsoft Defender
Remarque
Actuellement, la gestion des menaces et des vulnérabilités ne reconnaît pas cette règle. Par conséquent, le rapport sur la règle de réduction de la surface d’attaque l’affiche comme « Non applicable ».
Bloquer la création de webshell pour les serveurs
Cette règle bloque la création de scripts d’interpréteur de commandes web sur Microsoft Server, rôle Exchange. Un script d’interpréteur de commandes web est un script conçu qui permet à un attaquant de contrôler le serveur compromis.
Un interpréteur de commandes web peut inclure des fonctionnalités telles que la réception et l’exécution de commandes malveillantes, le téléchargement et l’exécution de fichiers malveillants, le vol et l’exfiltrage d’informations d’identification et d’informations sensibles, et l’identification de cibles potentielles.
nom de Intune :Block Webshell creation for Servers
GUID : a8f5898e-1dc8-49a9-9878-85004b8a61e6
Dépendances : antivirus Microsoft Defender
Remarque
Lorsque vous gérez des règles ASR à l’aide de Microsoft Defender pour point de terminaison gestion des paramètres de sécurité, vous devez configurer le paramètre Bloquer la création webshell pour les serveurs comme Not Configured dans stratégie de groupe ou d’autres paramètres locaux. Si cette règle est définie sur une autre valeur (par Enabled exemple, ou Disabled), elle peut entraîner des conflits et empêcher l’application correcte de la stratégie via la gestion des paramètres de sécurité.
Actuellement, la gestion des menaces et des vulnérabilités ne reconnaît pas cette règle. Par conséquent, le rapport sur la règle de réduction de la surface d’attaque l’affiche comme « Non applicable ».
Bloquer les appels d’API Win32 à partir de macros Office
Cette règle empêche les macros VBA d’appeler des API Win32. Office VBA active les appels d’API Win32. Les programmes malveillants peuvent abuser de cette fonctionnalité, comme appeler des API Win32 pour lancer un shellcode malveillant sans écrire quoi que ce soit directement sur le disque. La plupart des organisations ne s’appuient pas sur la possibilité d’appeler des API Win32 dans leur fonctionnement quotidien, même si elles utilisent des macros d’autres façons.
nom de Intune :Win32 imports from Office macro code
nom de Configuration Manager :Block Win32 API calls from Office macros
GUID : 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Type d’action de chasse avancée :
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Dépendances : antivirus Microsoft Defender, AMSI
Utiliser une protection avancée contre les rançongiciels
Cette règle fournit une couche supplémentaire de protection contre les rançongiciels. Il utilise à la fois les heuristiques client et cloud pour déterminer si un fichier ressemble à un ransomware. Cette règle ne bloque pas les fichiers qui ont une ou plusieurs des caractéristiques suivantes :
- Le fichier n’est pas partagé dans le cloud Microsoft.
- Le fichier est un fichier signé valide.
- Le fichier est suffisamment répandu pour ne pas être considéré comme un ransomware.
La règle a tendance à errer du côté de la prudence pour empêcher les rançongiciels.
Remarque
Vous devez activer la protection fournie par le cloud pour utiliser cette règle.
nom de Intune :Advanced ransomware protection
nom de Configuration Manager :Use advanced protection against ransomware
GUID : c1db55ab-c21a-4637-bb3f-a12568109d35
Type d’action de chasse avancée :
AsrRansomwareAuditedAsrRansomwareBlocked
Dépendances : antivirus Microsoft Defender, protection cloud
Voir aussi
Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque
Planifier le déploiement des règles de réduction de la surface d’attaque
Opérationnaliser les règles de réduction de la surface d’attaque
Informations de référence sur les règles de réduction de la surface d’attaque
Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender
Résoudre les problèmes liés aux règles de réduction de la surface d’attaque
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.