Informations de référence sur les règles de réduction de la surface d’attaque

S’applique à :

Plates-formes:

  • Windows

Cet article fournit des informations sur Microsoft Defender pour point de terminaison règles de réduction de la surface d’attaque (règles ASR) :

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Conseil

En complément de cet article, consultez notre guide de configuration Microsoft Defender pour point de terminaison pour passer en revue les meilleures pratiques et en savoir plus sur les outils essentiels tels que la réduction de la surface d’attaque et la protection nouvelle génération. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Defender pour point de terminaison dans le Centre d’administration Microsoft 365.

Règles de réduction de la surface d’attaque par type

Les règles de réduction de la surface d’attaque sont classées comme l’un des deux types suivants :

  • Standard règles de protection : ensemble minimal de règles que Microsoft recommande de toujours activer, pendant que vous évaluez l’effet et les besoins de configuration des autres règles ASR. Ces règles ont généralement un impact minime ou nul sur l’utilisateur final.

  • Autres règles : règles qui nécessitent une certaine mesure de suivre les étapes de déploiement documentées [Planifier > le test (audit) > Activer (modes bloc/avertissement)], comme indiqué dans le guide de déploiement des règles de réduction de la surface d’attaque

Pour obtenir la méthode la plus simple permettant d’activer les règles de protection standard, consultez : Option de protection standard simplifiée.

Nom de la règle ASR : Standard règle de protection ? Une autre règle ?
Bloquer les abus de conducteurs vulnérables exploités signés Oui
Empêcher Adobe Reader de créer des processus enfants Oui
Empêcher toutes les applications Office de créer des processus enfants Oui
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) Oui
Bloquer le contenu exécutable du client de messagerie et de la messagerie web Oui
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance Oui
Bloquer l’exécution de scripts potentiellement obfusqués Oui
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé Oui
Empêcher les applications Office de créer du contenu exécutable Oui
Empêcher les applications Office d’injecter du code dans d’autres processus Oui
Empêcher l’application de communication Office de créer des processus enfants Oui
Bloquer la persistance via un abonnement aux événements WMI Oui
Bloquer les créations de processus provenant des commandes PSExec et WMI Oui
Bloquer le redémarrage de l’ordinateur en mode sans échec (préversion) Oui
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB Oui
Bloquer l’utilisation des outils système copiés ou usurpés d’identité (préversion) Oui
Bloquer la création de webshell pour les serveurs Oui
Bloquer les appels d’API Win32 à partir de macros Office Oui
Utiliser une protection avancée contre les rançongiciels Oui

Microsoft Defender Exclusions antivirus et règles ASR

Microsoft Defender exclusions antivirus s’appliquent à certaines fonctionnalités Microsoft Defender pour point de terminaison, telles que certaines règles de réduction de la surface d’attaque.

Les règles ASR suivantes ne respectent PAS Microsoft Defender exclusions antivirus :

Nom des règles ASR :
Empêcher Adobe Reader de créer des processus enfants
Bloquer les créations de processus provenant des commandes PSExec et WMI
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe)
Empêcher les applications Office de créer du contenu exécutable
Empêcher les applications Office d’injecter du code dans d’autres processus
Empêcher l’application de communication Office de créer des processus enfants

Remarque

Pour plus d’informations sur la configuration des exclusions par règle, consultez la section intitulée Configurer des exclusions de règles ASR par règle dans la rubrique Règles de réduction de la surface d’attaque de test.

Règles ASR et Indicateurs de compromission de Defender pour point de terminaison (IOC)

Les règles ASR suivantes ne respectent pas Microsoft Defender pour point de terminaison indicateurs de compromission (IOC) :

Nom de la règle ASR Description
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) Ne respecte pas les indicateurs de compromission pour les fichiers ou les certificats.
Empêcher les applications Office d’injecter du code dans d’autres processus Ne respecte pas les indicateurs de compromission pour les fichiers ou les certificats.
Bloquer les appels d’API Win32 à partir de macros Office Ne respecte pas les indicateurs de compromission pour les certificats.

Systèmes d’exploitation pris en charge par les règles ASR

Le tableau suivant répertorie les systèmes d’exploitation pris en charge pour les règles actuellement publiées en disponibilité générale. Les règles sont répertoriées par ordre alphabétique dans ce tableau.

Remarque

Sauf indication contraire, la build Windows10 minimale est la version 1709 (RS3, build 16299) ou ultérieure ; la build minimale de Windows Server est la version 1809 ou ultérieure. Les règles de réduction de la surface d’attaque dans Windows Server 2012 R2 et Windows Server 2016 sont disponibles pour les appareils intégrés à l’aide du package de solution unifiée moderne. Pour plus d’informations, consultez Nouvelles fonctionnalités Windows Server 2012 R2 et 2016 dans la solution unifiée moderne.

Nom de la règle Windows 11
et
Windows 10
Windows Server 2022
et
Windows Server 2019
Windows Server Windows Server 2016 [1, 2] Windows Server
2012 R2 [1, 2]
Bloquer les abus de conducteurs vulnérables exploités signés v v v
version 1803 (Canal Entreprise semi-annuel) ou ultérieure
v v
Empêcher Adobe Reader de créer des processus enfants O
version 1809 ou ultérieure [3]
v v v v
Empêcher toutes les applications Office de créer des processus enfants v v v v v
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) O
version 1803 ou ultérieure [3]
v v v v
Bloquer le contenu exécutable du client de messagerie et de la messagerie web v v v v v
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance O
version 1803 ou ultérieure [3]
v v v v
Bloquer l’exécution de scripts potentiellement obfusqués v v v v v
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé v v v N N
Empêcher les applications Office de créer du contenu exécutable v v v v v
Empêcher les applications Office d’injecter du code dans d’autres processus v v v v v
Empêcher l’application de communication Office de créer des processus enfants v v v v v
Bloquer la persistance via l’abonnement aux événements WMI (Windows Management Instrumentation) O
version 1903 (build 18362) ou ultérieure [3]
v v
version 1903 (build 18362) ou ultérieure
N N
Bloquer les créations de processus provenant des commandes PSExec et WMI O
version 1803 ou ultérieure [3]
v v v v
Bloquer le redémarrage de l’ordinateur en mode sans échec (préversion) v v v v v
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB v v v v v
Bloquer l’utilisation des outils système copiés ou usurpés d’identité (préversion) v v v v v
Bloquer la création de webshell pour les serveurs N v
Rôle Exchange uniquement
O
Rôle Exchange uniquement
O
Rôle Exchange uniquement
O
Rôle Exchange uniquement
Bloquer les appels d’API Win32 à partir de macros Office v N N N N
Utiliser une protection avancée contre les rançongiciels O
version 1803 ou ultérieure [3]
v v v v

(1) Fait référence à la solution unifiée moderne pour Windows Server 2012 et 2016. Pour plus d’informations, consultez Intégrer des serveurs Windows au service Defender pour point de terminaison.

(2) Pour Windows Server 2016 et Windows Server 2012 R2, la version minimale requise de Microsoft Endpoint Configuration Manager est la version 2111.

(3) Version et numéro de build s’appliquent uniquement à Windows10.

Règles ASR prises en charge des systèmes de gestion de configuration

Les liens vers des informations sur les versions du système de gestion de la configuration référencées dans ce tableau sont répertoriés sous ce tableau.

Nom de la règle Microsoft Intune Microsoft Endpoint Configuration Manager stratégie de groupe[1] PowerShell[1]
Bloquer les abus de conducteurs vulnérables exploités signés v v v
Empêcher Adobe Reader de créer des processus enfants v v v
Empêcher toutes les applications Office de créer des processus enfants v v

CB 1710
v v
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) v v

CB 1802
v v
Bloquer le contenu exécutable du client de messagerie et de la messagerie web v v

CB 1710
v v
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance v v

CB 1802
v v
Bloquer l’exécution de scripts potentiellement obfusqués v v

CB 1710
v v
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé v v

CB 1710
v v
Empêcher les applications Office de créer du contenu exécutable v v

CB 1710
v v
Empêcher les applications Office d’injecter du code dans d’autres processus v v

CB 1710
v v
Empêcher l’application de communication Office de créer des processus enfants v v

CB 1710
v v
Bloquer la persistance via un abonnement aux événements WMI v v v
Bloquer les créations de processus provenant des commandes PSExec et WMI v v v
Bloquer le redémarrage de l’ordinateur en mode sans échec (préversion) v v v
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB v v

CB 1802
v v
Bloquer l’utilisation des outils système copiés ou usurpés d’identité (préversion) v v v
Bloquer la création de webshell pour les serveurs v v v
Bloquer les appels d’API Win32 à partir de macros Office v v

CB 1710
v v
Utiliser une protection avancée contre les rançongiciels v v

CB 1802
v v

(1) Vous pouvez configurer des règles de réduction de la surface d’attaque par règle à l’aide du GUID de n’importe quelle règle.

Par règle ASR, détails de l’alerte et de la notification

Les notifications toast sont générées pour toutes les règles en mode Bloc. Les règles dans un autre mode ne génèrent pas de notifications toast.

Pour les règles dont l’état de la règle est spécifié :

  • Les règles ASR avec \ASR Rule, Rule State\ combinaisons sont utilisées pour exposer des alertes (notifications toast) sur Microsoft Defender pour point de terminaison uniquement pour les appareils au niveau du bloc cloud « High ».
  • Les appareils qui ne sont pas au niveau du bloc cloud élevé ne génèrent pas d’alertes pour les ASR Rule, Rule State combinaisons
  • Les alertes EDR sont générées pour les règles ASR dans les états spécifiés, pour les appareils au niveau du bloc cloud « High+ »
  • Les notifications toast se produisent en mode bloc uniquement et pour les appareils au niveau du bloc cloud « Élevé »
Nom de la règle État de la règle Alertes EDR Notifications toast
Bloquer les abus de conducteurs vulnérables exploités signés N v
Empêcher Adobe Reader de créer des processus enfants Bloquer v v
Empêcher toutes les applications Office de créer des processus enfants N v
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) N N
Bloquer le contenu exécutable du client de messagerie et de la messagerie web v v
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance N v
Bloquer l’exécution de scripts potentiellement obfusqués Auditer ou bloquer Y (en mode bloc)
N (en mode audit)
Y (en mode bloc)
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé Bloquer v v
Empêcher les applications Office de créer du contenu exécutable N v
Empêcher les applications Office d’injecter du code dans d’autres processus N v
Empêcher l’application de communication Office de créer des processus enfants N v
Bloquer la persistance via un abonnement aux événements WMI Auditer ou bloquer Y (en mode bloc)
N (en mode audit)
Y (en mode bloc)
Bloquer les créations de processus provenant des commandes PSExec et WMI N v
Bloquer le redémarrage de l’ordinateur en mode sans échec (préversion) N N
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB Auditer ou bloquer Y (en mode bloc)
N (en mode audit)
Y (en mode bloc)
Bloquer l’utilisation des outils système copiés ou usurpés d’identité (préversion) N N
Bloquer la création de webshell pour les serveurs N N
Bloquer les appels d’API Win32 à partir de macros Office N v
Utiliser une protection avancée contre les rançongiciels Auditer ou bloquer Y (en mode bloc)
N (en mode audit)
Y (en mode bloc)

Règle ASR en matrice GUID

Nom de la règle GUID de règle
Bloquer les abus de conducteurs vulnérables exploités signés 56a863a9-875e-4185-98a7-b882c64b5ce5
Empêcher Adobe Reader de créer des processus enfants 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Empêcher toutes les applications Office de créer des processus enfants d4f940ab-401b-4efc-aadc-ad5f3c50688a
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloquer le contenu exécutable du client de messagerie et de la messagerie web be9ba2d9-53ea-4cdc-84e5-9b1eeeeee46550
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance 01443614-cd74-433a-b99e-2ecdc07bfc25
Bloquer l’exécution de scripts potentiellement obfusqués 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé d3e037e1-3eb8-44c8-a917-57927947596d
Empêcher les applications Office de créer du contenu exécutable 3b576869-a4ec-4529-8536-b80a7769e899
Empêcher les applications Office d’injecter du code dans d’autres processus 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Empêcher l’application de communication Office de créer des processus enfants 26190899-1602-49e8-8b27-eb1d0a1ce869
Bloquer la persistance via un abonnement aux événements WMI
* Exclusions de fichiers et de dossiers non prises en charge.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Bloquer les créations de processus provenant des commandes PSExec et WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Bloquer le redémarrage de l’ordinateur en mode sans échec (préversion) 33ddedf1-c6e0-47cb-833e-de6133960387
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloquer l’utilisation des outils système copiés ou usurpés d’identité (préversion) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Bloquer la création de webshell pour les serveurs a8f5898e-1dc8-49a9-9878-85004b8a61e6
Bloquer les appels d’API Win32 à partir de macros Office 92e97fa1-2edf-4476-bdd6-9dd0b4ddddc7b
Utiliser une protection avancée contre les rançongiciels c1db55ab-c21a-4637-bb3f-a12568109d35

Modes de règle ASR

  • Non configuré ou Désactivé : état dans lequel la règle ASR n’est pas activée ou est désactivée. Code de cet état = 0.
  • Bloquer : état dans lequel la règle ASR est activée. Le code de cet état est 1.
  • Audit : état dans lequel la règle ASR est évaluée pour l’effet qu’elle aurait sur l’organization ou l’environnement s’il est activé (défini sur bloquer ou avertir). Le code de cet état est 2.
  • Avertir État dans lequel la règle ASR est activée et présente une notification à l’utilisateur final, mais permet à l’utilisateur final de contourner le bloc. Le code pour cet état est 6.

Le mode d’avertissement est un type de mode bloc qui avertit les utilisateurs des actions potentiellement risquées. Les utilisateurs peuvent choisir de contourner le message d’avertissement de blocage et d’autoriser l’action sous-jacente. Les utilisateurs peuvent sélectionner OK pour appliquer le bloc, ou sélectionner l’option de contournement - Débloquer - via la notification toast contextuelle de l’utilisateur final qui est générée au moment du blocage. Une fois l’avertissement débloqué, l’opération est autorisée jusqu’à la prochaine fois que le message d’avertissement se produit, à laquelle l’utilisateur final doit effectuer une nouvelle exécution de l’action.

Lorsque vous cliquez sur le bouton Autoriser, le bloc est supprimé pendant 24 heures. Après 24 heures, l’utilisateur final doit autoriser à nouveau le bloc. Le mode d’avertissement pour les règles ASR est pris en charge uniquement pour les appareils RS5+ (1809+). Si le contournement est affecté à des règles ASR sur des appareils avec des versions antérieures, la règle est en mode bloqué.

Vous pouvez également définir une règle en mode d’avertissement via PowerShell en spécifiant « AttackSurfaceReductionRules_Actions Avertir ». Par exemple :

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Descriptions par règle

Bloquer les abus de conducteurs vulnérables exploités signés

Cette règle empêche une application d’écrire un pilote signé vulnérable sur le disque. Les pilotes signés vulnérables et in-the-wild peuvent être exploités par des applications locales ( qui disposent de privilèges suffisants ) pour accéder au noyau. Les pilotes signés vulnérables permettent aux attaquants de désactiver ou de contourner les solutions de sécurité, ce qui aboutit à la compromission du système.

La règle Bloquer l’abus des pilotes signés vulnérables exploités n’empêche pas le chargement d’un pilote existant déjà sur le système.

Remarque

Vous pouvez configurer cette règle à l’aide de Intune OMA-URI. Consultez Intune OMA-URI pour configurer des règles personnalisées. Vous pouvez également configurer cette règle à l’aide de PowerShell. Pour qu’un pilote soit examiné, utilisez ce site Web pour soumettre un pilote à des fins d’analyse.

nom de Intune :Block abuse of exploited vulnerable signed drivers

nom de Configuration Manager : pas encore disponible

GUID : 56a863a9-875e-4185-98a7-b882c64b5ce5

Type d’action de chasse avancée :

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Empêcher Adobe Reader de créer des processus enfants

Cette règle empêche les attaques en empêchant Adobe Reader de créer des processus.

Les programmes malveillants peuvent télécharger et lancer des charges utiles et sortir d’Adobe Reader par le biais d’une ingénierie sociale ou d’exploits. En empêchant les processus enfants d’être générés par Adobe Reader, les programmes malveillants qui tentent d’utiliser Adobe Reader comme vecteur d’attaque sont empêchés de se propager.

nom de Intune :Process creation from Adobe Reader (beta)

nom de Configuration Manager : pas encore disponible

GUID : 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Type d’action de chasse avancée :

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Dépendances : antivirus Microsoft Defender

Empêcher toutes les applications Office de créer des processus enfants

Cette règle empêche les applications Office de créer des processus enfants. Les applications Office incluent Word, Excel, PowerPoint, OneNote et Access.

La création de processus enfants malveillants est une stratégie de programme malveillant courante. Les programmes malveillants qui abusent d’Office en tant que vecteur exécutent souvent des macros VBA et exploitent du code pour télécharger et tenter d’exécuter davantage de charges utiles. Toutefois, certaines applications métier légitimes peuvent également générer des processus enfants à des fins bénignes ; par exemple, la génération d’une invite de commandes ou l’utilisation de PowerShell pour configurer les paramètres du Registre.

nom de Intune :Office apps launching child processes

nom de Configuration Manager :Block Office application from creating child processes

GUID : d4f940ab-401b-4efc-aadc-ad5f3c50688a

Type d’action de chasse avancée :

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Dépendances : antivirus Microsoft Defender

Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows

Remarque

Si la protection LSA est activée et Que Credential Guard est activée, cette règle de réduction de la surface d’attaque n’est pas nécessaire.

Cette règle permet d’empêcher le vol d’informations d’identification en verrouillant le service LSASS (Local Security Authority Subsystem Service).

LSASS authentifie les utilisateurs qui se connectent sur un ordinateur Windows. Microsoft Defender Credential Guard dans Windows empêche normalement les tentatives d’extraction d’informations d’identification à partir de LSASS. Certaines organisations ne peuvent pas activer Credential Guard sur tous leurs ordinateurs en raison de problèmes de compatibilité avec les pilotes de carte à puce personnalisés ou d’autres programmes qui se chargent dans l’autorité de sécurité locale (LSA). Dans ce cas, les attaquants peuvent utiliser des outils tels que Mimikatz pour récupérer des mots de passe en texte clair et des hachages NTLM à partir de LSASS.

Par défaut, l’état de cette règle est défini sur bloquer. Dans la plupart des cas, de nombreux processus effectuent des appels à LSASS pour obtenir des droits d’accès qui ne sont pas nécessaires. Par exemple, lorsque le blocage initial de la règle ASR entraîne un appel ultérieur pour un privilège inférieur qui réussit par la suite. Pour plus d’informations sur les types de droits généralement demandés dans les appels de processus à LSASS, consultez : Sécurité des processus et droits d’accès.

L’activation de cette règle n’offre pas de protection supplémentaire si la protection LSA est activée, car la règle ASR et la protection LSA fonctionnent de la même façon. Toutefois, lorsque la protection LSA ne peut pas être activée, cette règle peut être configurée pour fournir une protection équivalente contre les programmes malveillants qui ciblent lsass.exe.

Conseil

  1. Les événements d’audit ASR ne génèrent pas de notifications toast. Toutefois, étant donné que la règle ASR LSASS produit un grand volume d’événements d’audit, dont presque tous sont sans risque d’être ignorés lorsque la règle est activée en mode bloc, vous pouvez choisir d’ignorer l’évaluation du mode audit et de passer au déploiement en mode bloc, en commençant par un petit ensemble d’appareils et en développant progressivement pour couvrir le reste.
  2. La règle est conçue pour supprimer les rapports/toasts de blocs pour les processus conviviaux. Il est également conçu pour supprimer des rapports pour les blocs en double. Par conséquent, la règle est bien adaptée pour être activée en mode bloc, que les notifications toast soient activées ou désactivées. 
  3. L’ASR en mode d’avertissement est conçu pour présenter aux utilisateurs une notification toast de bloc qui inclut un bouton « Débloquer ». En raison de la nature « sûre à ignorer » des blocs ASR LSASS et de leur grand volume, le mode WARN n’est pas recommandé pour cette règle (que les notifications toast soient activées ou désactivées).

Remarque

Dans ce scénario, la règle ASR est classée comme « non applicable » dans les paramètres Defender pour point de terminaison du portail Microsoft Defender. La règle ASR Bloquer le vol d’informations d’identification du sous-système d’autorité de sécurité locale Windows ne prend pas en charge le mode WARN. Dans certaines applications, le code énumère tous les processus en cours d’exécution et tente de les ouvrir avec des autorisations exhaustives. Cette règle refuse l’action d’ouverture du processus de l’application et enregistre les détails dans le journal des événements de sécurité. Cette règle peut générer beaucoup de bruit. Si vous avez une application qui énumère simplement LSASS, mais n’a aucun impact réel sur les fonctionnalités, il n’est pas nécessaire de l’ajouter à la liste d’exclusions. En soi, cette entrée du journal des événements n’indique pas nécessairement une menace malveillante.

nom de Intune :Flag credential stealing from the Windows local security authority subsystem

nom de Configuration Manager :Block credential stealing from the Windows local security authority subsystem

GUID : 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Type d’action de chasse avancée :

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Dépendances : antivirus Microsoft Defender

Problèmes connus : Ces applications et la règle « Bloquer le vol d’informations d’identification du sous-système d’autorité de sécurité locale Windows » sont incompatibles :

Nom de l’application Pour plus d’informations
Synchronisation du mot de passe Dirsync de la quête La synchronisation de mot de passe Dirsync ne fonctionne pas lorsque Windows Defender est installé, erreur : « Échec de VirtualAllocEx : 5 » (4253914)

Pour obtenir un support technique, contactez l’éditeur du logiciel.

Bloquer le contenu exécutable du client de messagerie et de la messagerie web

Cette règle empêche les e-mails ouverts dans l’application Microsoft Outlook, ou Outlook.com et d’autres fournisseurs de messagerie web populaires de propager les types de fichiers suivants :

  • Fichiers exécutables (tels que .exe, .dll ou .scr)
  • Fichiers de script (tels qu’un fichier .ps1 PowerShell, Visual Basic .vbs ou JavaScript .js)

nom de Intune :Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager nom :Block executable content from email client and webmail

GUID : be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Type d’action de chasse avancée :

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Dépendances : antivirus Microsoft Defender

Remarque

La règle Bloquer le contenu exécutable du client de messagerie et de la messagerie web contient les descriptions alternatives suivantes, selon l’application que vous utilisez :

  • Intune (profils de configuration) : exécution du contenu exécutable (exe, dll, ps, js, vbs, etc.) supprimé de l’e-mail (webmail/client de messagerie) (aucune exception).
  • Configuration Manager : Bloquer le téléchargement de contenu exécutable à partir des clients de messagerie et de messagerie web.
  • stratégie de groupe : bloquer le contenu exécutable du client de messagerie et de la messagerie web.

Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance

Cette règle empêche le lancement des fichiers exécutables, tels que .exe, .dll ou .scr. Par conséquent, le lancement de fichiers exécutables non approuvés ou inconnus peut être risqué, car il peut ne pas être clair au départ si les fichiers sont malveillants.

Importante

Vous devez activer la protection fournie par le cloud pour utiliser cette règle. La règle Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste approuvée avec GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 , appartient à Microsoft et n’est pas spécifiée par les administrateurs. Cette règle utilise la protection fournie par le cloud pour mettre à jour régulièrement sa liste approuvée. Vous pouvez spécifier des fichiers ou dossiers individuels (à l’aide de chemins d’accès aux dossiers ou de noms de ressources complets), mais vous ne pouvez pas spécifier les règles ou exclusions qui s’appliquent.

nom de Intune :Executables that don't meet a prevalence, age, or trusted list criteria

nom de Configuration Manager :Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID : 01443614-cd74-433a-b99e-2ecdc07bfc25

Type d’action de chasse avancée :

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Dépendances : antivirus Microsoft Defender, protection cloud

Bloquer l’exécution de scripts potentiellement obfusqués

Cette règle détecte les propriétés suspectes dans un script obfusqué.

Remarque

Les scripts PowerShell sont désormais pris en charge pour la règle « Bloquer l’exécution de scripts potentiellement obfusqués ».

Importante

Vous devez activer la protection fournie par le cloud pour utiliser cette règle.

L’obfuscation de script est une technique courante que les auteurs de programmes malveillants et les applications légitimes utilisent pour masquer la propriété intellectuelle ou réduire les temps de chargement des scripts. Les auteurs de programmes malveillants utilisent également l’obfuscation pour rendre le code malveillant plus difficile à lire, ce qui empêche l’examen de près par les humains et les logiciels de sécurité.

nom de Intune :Obfuscated js/vbs/ps/macro code

nom de Configuration Manager :Block execution of potentially obfuscated scripts

GUID : 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Type d’action de chasse avancée :

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Dépendances : antivirus Microsoft Defender, interface d’analyse anti-programme malveillant (AMSI)

Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé

Cette règle empêche les scripts de lancer du contenu téléchargé potentiellement malveillant. Les logiciels malveillants écrits en JavaScript ou VBScript agissent souvent comme un téléchargeur pour extraire et lancer d’autres programmes malveillants à partir d’Internet. Bien qu’elles ne soient pas courantes, les applications métier utilisent parfois des scripts pour télécharger et lancer des programmes d’installation.

nom de Intune :js/vbs executing payload downloaded from Internet (no exceptions)

nom de Configuration Manager :Block JavaScript or VBScript from launching downloaded executable content

GUID : d3e037e1-3eb8-44c8-a917-57927947596d

Type d’action de chasse avancée :

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Dépendances : antivirus Microsoft Defender, AMSI

Empêcher les applications Office de créer du contenu exécutable

Cette règle empêche les applications Office, notamment Word, Excel et PowerPoint, de créer du contenu exécutable potentiellement malveillant, en empêchant l’écriture de code malveillant sur le disque. Les programmes malveillants qui abusent d’Office en tant que vecteur peuvent tenter de sortir d’Office et d’enregistrer des composants malveillants sur le disque. Ces composants malveillants survivraient à un redémarrage de l’ordinateur et persistaient sur le système. Par conséquent, cette règle se défend contre une technique de persistance courante. Cette règle bloque également l’exécution des fichiers non approuvés qui peuvent avoir été enregistrés par les macros Office autorisées à s’exécuter dans les fichiers Office.

nom de Intune :Office apps/macros creating executable content

nom de Configuration Manager :Block Office applications from creating executable content

GUID : 3b576869-a4ec-4529-8536-b80a7769e899

Type d’action de chasse avancée :

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Dépendances : antivirus Microsoft Defender, RPC

Empêcher les applications Office d’injecter du code dans d’autres processus

Cette règle bloque les tentatives d’injection de code des applications Office dans d’autres processus.

Remarque

La règle AsR Empêcher les applications d’injecter du code dans d’autres processus ne prend pas en charge le mode WARN.

Importante

Cette règle nécessite le redémarrage de Microsoft 365 Apps (applications Office) pour que les modifications de configuration prennent effet.

Les attaquants peuvent tenter d’utiliser des applications Office pour migrer du code malveillant vers d’autres processus via l’injection de code, de sorte que le code peut se faire passer pour un processus propre. Il n’existe pas d’objectif commercial légitime connu pour l’utilisation de l’injection de code.

Cette règle s’applique à Word, Excel, OneNote et PowerPoint.

nom de Intune :Office apps injecting code into other processes (no exceptions)

nom de Configuration Manager :Block Office applications from injecting code into other processes

GUID : 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Type d’action de chasse avancée :

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Dépendances : antivirus Microsoft Defender

Problèmes connus : Ces applications et la règle « Bloquer les applications Office d’injecter du code dans d’autres processus » sont incompatibles :

Nom de l’application Pour plus d’informations
Avecto (BeyondTrust) Privilege Guard Septembre-2024 (Plateforme : 4.18.24090.11 | Moteur 1.1.24090.11).
Sécurité Heimdal s/o

Pour obtenir un support technique, contactez l’éditeur du logiciel.

Empêcher l’application de communication Office de créer des processus enfants

Cette règle empêche Outlook de créer des processus enfants, tout en autorisant les fonctions Outlook légitimes. Cette règle protège contre les attaques d’ingénierie sociale et empêche l’exploitation du code d’abuser des vulnérabilités dans Outlook. Il protège également contre les règles et les attaques de formulaires Outlook que les attaquants peuvent utiliser quand les informations d’identification d’un utilisateur sont compromises.

Remarque

Cette règle bloque les conseils de stratégie DLP et les info-bulles dans Outlook. Cette règle s’applique uniquement à Outlook et Outlook.com.

nom de Intune :Process creation from Office communication products (beta)

Configuration Manager nom : non disponible

GUID : 26190899-1602-49e8-8b27-eb1d0a1ce869

Type d’action de chasse avancée :

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Dépendances : antivirus Microsoft Defender

Bloquer la persistance via un abonnement aux événements WMI

Cette règle empêche les programmes malveillants d’utiliser WMI à mauvais escient pour obtenir une persistance sur un appareil.

Importante

Les exclusions de fichiers et de dossiers ne s’appliquent pas à cette règle de réduction de la surface d’attaque.

Les menaces sans fichier emploient diverses tactiques pour rester cachées, éviter d’être vues dans le système de fichiers et obtenir un contrôle d’exécution périodique. Certaines menaces peuvent utiliser à mauvais escient le dépôt WMI et le modèle d’événement pour rester cachées.

Remarque

Si CcmExec.exe (agent SCCM) est détecté sur l’appareil, la règle ASR est classée comme « non applicable » dans les paramètres de Defender pour point de terminaison dans le portail Microsoft Defender.

nom de Intune :Persistence through WMI event subscription

Configuration Manager nom : non disponible

GUID : e6db77e5-3df2-4cf1-b95a-636979351e5b

Type d’action de chasse avancée :

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Dépendances : antivirus Microsoft Defender, RPC

Bloquer les créations de processus provenant des commandes PSExec et WMI

Cette règle empêche l’exécution des processus créés via PsExec et WMI . PsExec et WMI peuvent exécuter du code à distance. Il existe un risque de programmes malveillants qui abusent des fonctionnalités de PsExec et WMI à des fins de commande et de contrôle, ou de propager une infection sur le réseau d’un organization.

Avertissement

Utilisez cette règle uniquement si vous gérez vos appareils avec Intune ou une autre solution MDM. Cette règle n’est pas compatible avec la gestion via Microsoft Endpoint Configuration Manager, car elle bloque les commandes WMI que le client Configuration Manager utilise pour fonctionner correctement.

nom de Intune :Process creation from PSExec and WMI commands

nom de Configuration Manager : Non applicable

GUID : d1e49aac-8f56-4280-b9ba-993a6d77406c

Type d’action de chasse avancée :

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Dépendances : antivirus Microsoft Defender

Bloquer le redémarrage de l’ordinateur en mode sans échec (préversion)

Cette règle empêche l’exécution de commandes pour redémarrer des machines en mode sans échec. Le mode sans échec est un mode de diagnostic qui charge uniquement les fichiers et pilotes essentiels nécessaires à l’exécution de Windows. Toutefois, en mode sans échec, de nombreux produits de sécurité sont désactivés ou fonctionnent dans une capacité limitée, ce qui permet aux attaquants de lancer davantage de commandes de falsification, ou simplement d’exécuter et de chiffrer tous les fichiers sur l’ordinateur. Cette règle bloque ces attaques en empêchant les processus de redémarrer les machines en mode sans échec.

Remarque

Cette fonctionnalité est actuellement en préversion. D’autres mises à niveau pour améliorer l’efficacité sont en cours de développement.

nom de Intune :[PREVIEW] Block rebooting machine in Safe Mode

nom de Configuration Manager : pas encore disponible

GUID : 33ddedf1-c6e0-47cb-833e-de6133960387

Type d’action de chasse avancée :

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Dépendances : antivirus Microsoft Defender

Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB

Avec cette règle, les administrateurs peuvent empêcher l’exécution de fichiers exécutables non signés ou non approuvés à partir de lecteurs usb amovibles, y compris les cartes SD. Les types de fichiers bloqués incluent les fichiers exécutables (tels que .exe, .dll ou .scr)

Importante

Les fichiers copiés à partir de l’USB vers le lecteur de disque sont bloqués par cette règle si et quand il est sur le point d’être exécuté sur le lecteur de disque.

nom de Intune :Untrusted and unsigned processes that run from USB

nom de Configuration Manager :Block untrusted and unsigned processes that run from USB

GUID : b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Type d’action de chasse avancée :

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Dépendances : antivirus Microsoft Defender

Bloquer l’utilisation des outils système copiés ou usurpés d’identité (préversion)

Cette règle bloque l’utilisation des fichiers exécutables identifiés en tant que copies des outils système Windows. Ces fichiers sont des doublons ou des imposteurs des outils système d’origine. Certains programmes malveillants peuvent essayer de copier ou d’emprunter l’identité des outils système Windows pour éviter la détection ou obtenir des privilèges. L’autorisation de ces fichiers exécutables peut entraîner des attaques potentielles. Cette règle empêche la propagation et l’exécution de tels doublons et imposteurs des outils système sur les machines Windows.

Remarque

Cette fonctionnalité est actuellement en préversion. D’autres mises à niveau pour améliorer l’efficacité sont en cours de développement.

nom de Intune :[PREVIEW] Block use of copied or impersonated system tools

nom de Configuration Manager : pas encore disponible

GUID : c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Type d’action de chasse avancée :

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Dépendances : antivirus Microsoft Defender

Bloquer la création de webshell pour les serveurs

Cette règle bloque la création de scripts d’interpréteur de commandes web sur Microsoft Server, rôle Exchange. Un script d’interpréteur de commandes web est un script spécifiquement conçu qui permet à un attaquant de contrôler le serveur compromis. Un interpréteur de commandes web peut inclure des fonctionnalités telles que la réception et l’exécution de commandes malveillantes, le téléchargement et l’exécution de fichiers malveillants, le vol et l’exfiltrage d’informations d’identification et d’informations sensibles, l’identification de cibles potentielles, etc.

nom de Intune :Block Webshell creation for Servers

GUID : a8f5898e-1dc8-49a9-9878-85004b8a61e6

Dépendances : antivirus Microsoft Defender

Bloquer les appels d’API Win32 à partir de macros Office

Cette règle empêche les macros VBA d’appeler des API Win32. Office VBA active les appels d’API Win32. Les programmes malveillants peuvent abuser de cette fonctionnalité, comme appeler des API Win32 pour lancer un shellcode malveillant sans écrire quoi que ce soit directement sur le disque. La plupart des organisations ne s’appuient pas sur la possibilité d’appeler des API Win32 dans leur fonctionnement quotidien, même si elles utilisent des macros d’autres façons.

nom de Intune :Win32 imports from Office macro code

nom de Configuration Manager :Block Win32 API calls from Office macros

GUID : 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Type d’action de chasse avancée :

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Dépendances : antivirus Microsoft Defender, AMSI

Utiliser une protection avancée contre les rançongiciels

Cette règle fournit une couche supplémentaire de protection contre les rançongiciels. Il utilise à la fois les heuristiques client et cloud pour déterminer si un fichier ressemble à un ransomware. Cette règle ne bloque pas les fichiers qui ont une ou plusieurs des caractéristiques suivantes :

  • Le fichier est déjà introuvable dans le cloud Microsoft.
  • Le fichier est un fichier signé valide.
  • Le fichier est suffisamment répandu pour ne pas être considéré comme un ransomware.

La règle a tendance à errer du côté de la prudence pour empêcher les rançongiciels.

Remarque

Vous devez activer la protection fournie par le cloud pour utiliser cette règle.

nom de Intune :Advanced ransomware protection

nom de Configuration Manager :Use advanced protection against ransomware

GUID : c1db55ab-c21a-4637-bb3f-a12568109d35

Type d’action de chasse avancée :

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Dépendances : antivirus Microsoft Defender, protection cloud

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.