Informations de référence sur les règles de réduction de la surface d’attaque
S’applique à :
- Microsoft Microsoft Defender XDR pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
- Antivirus Microsoft Defender
Plates-formes:
- Windows
Cet article fournit des informations sur Microsoft Defender pour point de terminaison règles de réduction de la surface d’attaque (règles ASR) :
- Versions de système d’exploitation prises en charge par les règles ASR
- Règles ASR prises en charge des systèmes de gestion de configuration
- Par règle ASR, détails de l’alerte et de la notification
- Règle ASR en matrice GUID
- Modes de règle ASR
- Descriptions par règle
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Conseil
En complément de cet article, consultez notre guide de configuration Microsoft Defender pour point de terminaison pour passer en revue les meilleures pratiques et en savoir plus sur les outils essentiels tels que la réduction de la surface d’attaque et la protection nouvelle génération. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Defender pour point de terminaison dans le Centre d’administration Microsoft 365.
Règles de réduction de la surface d’attaque par type
Les règles de réduction de la surface d’attaque sont classées comme l’un des deux types suivants :
Standard règles de protection : ensemble minimal de règles que Microsoft recommande de toujours activer, pendant que vous évaluez l’effet et les besoins de configuration des autres règles ASR. Ces règles ont généralement un impact minime ou nul sur l’utilisateur final.
Autres règles : règles qui nécessitent une certaine mesure de suivre les étapes de déploiement documentées [Planifier > le test (audit) > Activer (modes bloc/avertissement)], comme indiqué dans le guide de déploiement des règles de réduction de la surface d’attaque
Pour obtenir la méthode la plus simple permettant d’activer les règles de protection standard, consultez : Option de protection standard simplifiée.
Nom de la règle ASR : | Standard règle de protection ? | Une autre règle ? |
---|---|---|
Bloquer les abus de conducteurs vulnérables exploités signés | Oui | |
Empêcher Adobe Reader de créer des processus enfants | Oui | |
Empêcher toutes les applications Office de créer des processus enfants | Oui | |
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) | Oui | |
Bloquer le contenu exécutable du client de messagerie et de la messagerie web | Oui | |
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance | Oui | |
Bloquer l’exécution de scripts potentiellement obfusqués | Oui | |
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé | Oui | |
Empêcher les applications Office de créer du contenu exécutable | Oui | |
Empêcher les applications Office d’injecter du code dans d’autres processus | Oui | |
Empêcher l’application de communication Office de créer des processus enfants | Oui | |
Bloquer la persistance via un abonnement aux événements WMI | Oui | |
Bloquer les créations de processus provenant des commandes PSExec et WMI | Oui | |
Bloquer le redémarrage de l’ordinateur en mode sans échec (préversion) | Oui | |
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB | Oui | |
Bloquer l’utilisation des outils système copiés ou usurpés d’identité (préversion) | Oui | |
Bloquer la création de webshell pour les serveurs | Oui | |
Bloquer les appels d’API Win32 à partir de macros Office | Oui | |
Utiliser une protection avancée contre les rançongiciels | Oui |
Microsoft Defender Exclusions antivirus et règles ASR
Microsoft Defender exclusions antivirus s’appliquent à certaines fonctionnalités Microsoft Defender pour point de terminaison, telles que certaines règles de réduction de la surface d’attaque.
Les règles ASR suivantes ne respectent PAS Microsoft Defender exclusions antivirus :
Remarque
Pour plus d’informations sur la configuration des exclusions par règle, consultez la section intitulée Configurer des exclusions de règles ASR par règle dans la rubrique Règles de réduction de la surface d’attaque de test.
Règles ASR et Indicateurs de compromission de Defender pour point de terminaison (IOC)
Les règles ASR suivantes ne respectent pas Microsoft Defender pour point de terminaison indicateurs de compromission (IOC) :
Nom de la règle ASR | Description |
---|---|
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) | Ne respecte pas les indicateurs de compromission pour les fichiers ou les certificats. |
Empêcher les applications Office d’injecter du code dans d’autres processus | Ne respecte pas les indicateurs de compromission pour les fichiers ou les certificats. |
Bloquer les appels d’API Win32 à partir de macros Office | Ne respecte pas les indicateurs de compromission pour les certificats. |
Systèmes d’exploitation pris en charge par les règles ASR
Le tableau suivant répertorie les systèmes d’exploitation pris en charge pour les règles actuellement publiées en disponibilité générale. Les règles sont répertoriées par ordre alphabétique dans ce tableau.
Remarque
Sauf indication contraire, la build Windows10 minimale est la version 1709 (RS3, build 16299) ou ultérieure ; la build minimale de Windows Server est la version 1809 ou ultérieure. Les règles de réduction de la surface d’attaque dans Windows Server 2012 R2 et Windows Server 2016 sont disponibles pour les appareils intégrés à l’aide du package de solution unifiée moderne. Pour plus d’informations, consultez Nouvelles fonctionnalités Windows Server 2012 R2 et 2016 dans la solution unifiée moderne.
(1) Fait référence à la solution unifiée moderne pour Windows Server 2012 et 2016. Pour plus d’informations, consultez Intégrer des serveurs Windows au service Defender pour point de terminaison.
(2) Pour Windows Server 2016 et Windows Server 2012 R2, la version minimale requise de Microsoft Endpoint Configuration Manager est la version 2111.
(3) Version et numéro de build s’appliquent uniquement à Windows10.
Règles ASR prises en charge des systèmes de gestion de configuration
Les liens vers des informations sur les versions du système de gestion de la configuration référencées dans ce tableau sont répertoriés sous ce tableau.
(1) Vous pouvez configurer des règles de réduction de la surface d’attaque par règle à l’aide du GUID de n’importe quelle règle.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM est maintenant Microsoft Configuration Manager.
Par règle ASR, détails de l’alerte et de la notification
Les notifications toast sont générées pour toutes les règles en mode Bloc. Les règles dans un autre mode ne génèrent pas de notifications toast.
Pour les règles dont l’état de la règle est spécifié :
- Les règles ASR avec
\ASR Rule, Rule State\
combinaisons sont utilisées pour exposer des alertes (notifications toast) sur Microsoft Defender pour point de terminaison uniquement pour les appareils au niveau du bloc cloud « High ». - Les appareils qui ne sont pas au niveau du bloc cloud élevé ne génèrent pas d’alertes pour les
ASR Rule, Rule State
combinaisons - Les alertes EDR sont générées pour les règles ASR dans les états spécifiés, pour les appareils au niveau du bloc cloud « High+ »
- Les notifications toast se produisent en mode bloc uniquement et pour les appareils au niveau du bloc cloud « Élevé »
Règle ASR en matrice GUID
Nom de la règle | GUID de règle |
---|---|
Bloquer les abus de conducteurs vulnérables exploités signés | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Empêcher Adobe Reader de créer des processus enfants | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Empêcher toutes les applications Office de créer des processus enfants | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Bloquer le contenu exécutable du client de messagerie et de la messagerie web | be9ba2d9-53ea-4cdc-84e5-9b1eeeeee46550 |
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Bloquer l’exécution de scripts potentiellement obfusqués | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé | d3e037e1-3eb8-44c8-a917-57927947596d |
Empêcher les applications Office de créer du contenu exécutable | 3b576869-a4ec-4529-8536-b80a7769e899 |
Empêcher les applications Office d’injecter du code dans d’autres processus | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Empêcher l’application de communication Office de créer des processus enfants | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Bloquer la persistance via un abonnement aux événements WMI * Exclusions de fichiers et de dossiers non prises en charge. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
Bloquer les créations de processus provenant des commandes PSExec et WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Bloquer le redémarrage de l’ordinateur en mode sans échec (préversion) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Bloquer l’utilisation des outils système copiés ou usurpés d’identité (préversion) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Bloquer la création de webshell pour les serveurs | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Bloquer les appels d’API Win32 à partir de macros Office | 92e97fa1-2edf-4476-bdd6-9dd0b4ddddc7b |
Utiliser une protection avancée contre les rançongiciels | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Modes de règle ASR
- Non configuré ou Désactivé : état dans lequel la règle ASR n’est pas activée ou est désactivée. Code de cet état = 0.
- Bloquer : état dans lequel la règle ASR est activée. Le code de cet état est 1.
- Audit : état dans lequel la règle ASR est évaluée pour l’effet qu’elle aurait sur l’organization ou l’environnement s’il est activé (défini sur bloquer ou avertir). Le code de cet état est 2.
- Avertir État dans lequel la règle ASR est activée et présente une notification à l’utilisateur final, mais permet à l’utilisateur final de contourner le bloc. Le code pour cet état est 6.
Le mode d’avertissement est un type de mode bloc qui avertit les utilisateurs des actions potentiellement risquées. Les utilisateurs peuvent choisir de contourner le message d’avertissement de blocage et d’autoriser l’action sous-jacente. Les utilisateurs peuvent sélectionner OK pour appliquer le bloc, ou sélectionner l’option de contournement - Débloquer - via la notification toast contextuelle de l’utilisateur final qui est générée au moment du blocage. Une fois l’avertissement débloqué, l’opération est autorisée jusqu’à la prochaine fois que le message d’avertissement se produit, à laquelle l’utilisateur final doit effectuer une nouvelle exécution de l’action.
Lorsque vous cliquez sur le bouton Autoriser, le bloc est supprimé pendant 24 heures. Après 24 heures, l’utilisateur final doit autoriser à nouveau le bloc. Le mode d’avertissement pour les règles ASR est pris en charge uniquement pour les appareils RS5+ (1809+). Si le contournement est affecté à des règles ASR sur des appareils avec des versions antérieures, la règle est en mode bloqué.
Vous pouvez également définir une règle en mode d’avertissement via PowerShell en spécifiant « AttackSurfaceReductionRules_Actions
Avertir ». Par exemple :
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Descriptions par règle
Bloquer les abus de conducteurs vulnérables exploités signés
Cette règle empêche une application d’écrire un pilote signé vulnérable sur le disque. Les pilotes signés vulnérables et in-the-wild peuvent être exploités par des applications locales ( qui disposent de privilèges suffisants ) pour accéder au noyau. Les pilotes signés vulnérables permettent aux attaquants de désactiver ou de contourner les solutions de sécurité, ce qui aboutit à la compromission du système.
La règle Bloquer l’abus des pilotes signés vulnérables exploités n’empêche pas le chargement d’un pilote existant déjà sur le système.
Remarque
Vous pouvez configurer cette règle à l’aide de Intune OMA-URI. Consultez Intune OMA-URI pour configurer des règles personnalisées. Vous pouvez également configurer cette règle à l’aide de PowerShell. Pour qu’un pilote soit examiné, utilisez ce site Web pour soumettre un pilote à des fins d’analyse.
nom de Intune :Block abuse of exploited vulnerable signed drivers
nom de Configuration Manager : pas encore disponible
GUID : 56a863a9-875e-4185-98a7-b882c64b5ce5
Type d’action de chasse avancée :
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Empêcher Adobe Reader de créer des processus enfants
Cette règle empêche les attaques en empêchant Adobe Reader de créer des processus.
Les programmes malveillants peuvent télécharger et lancer des charges utiles et sortir d’Adobe Reader par le biais d’une ingénierie sociale ou d’exploits. En empêchant les processus enfants d’être générés par Adobe Reader, les programmes malveillants qui tentent d’utiliser Adobe Reader comme vecteur d’attaque sont empêchés de se propager.
nom de Intune :Process creation from Adobe Reader (beta)
nom de Configuration Manager : pas encore disponible
GUID : 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Type d’action de chasse avancée :
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
Dépendances : antivirus Microsoft Defender
Empêcher toutes les applications Office de créer des processus enfants
Cette règle empêche les applications Office de créer des processus enfants. Les applications Office incluent Word, Excel, PowerPoint, OneNote et Access.
La création de processus enfants malveillants est une stratégie de programme malveillant courante. Les programmes malveillants qui abusent d’Office en tant que vecteur exécutent souvent des macros VBA et exploitent du code pour télécharger et tenter d’exécuter davantage de charges utiles. Toutefois, certaines applications métier légitimes peuvent également générer des processus enfants à des fins bénignes ; par exemple, la génération d’une invite de commandes ou l’utilisation de PowerShell pour configurer les paramètres du Registre.
nom de Intune :Office apps launching child processes
nom de Configuration Manager :Block Office application from creating child processes
GUID : d4f940ab-401b-4efc-aadc-ad5f3c50688a
Type d’action de chasse avancée :
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
Dépendances : antivirus Microsoft Defender
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows
Remarque
Si la protection LSA est activée et Que Credential Guard est activée, cette règle de réduction de la surface d’attaque n’est pas nécessaire.
Cette règle permet d’empêcher le vol d’informations d’identification en verrouillant le service LSASS (Local Security Authority Subsystem Service).
LSASS authentifie les utilisateurs qui se connectent sur un ordinateur Windows. Microsoft Defender Credential Guard dans Windows empêche normalement les tentatives d’extraction d’informations d’identification à partir de LSASS. Certaines organisations ne peuvent pas activer Credential Guard sur tous leurs ordinateurs en raison de problèmes de compatibilité avec les pilotes de carte à puce personnalisés ou d’autres programmes qui se chargent dans l’autorité de sécurité locale (LSA). Dans ce cas, les attaquants peuvent utiliser des outils tels que Mimikatz pour récupérer des mots de passe en texte clair et des hachages NTLM à partir de LSASS.
Par défaut, l’état de cette règle est défini sur bloquer. Dans la plupart des cas, de nombreux processus effectuent des appels à LSASS pour obtenir des droits d’accès qui ne sont pas nécessaires. Par exemple, lorsque le blocage initial de la règle ASR entraîne un appel ultérieur pour un privilège inférieur qui réussit par la suite. Pour plus d’informations sur les types de droits généralement demandés dans les appels de processus à LSASS, consultez : Sécurité des processus et droits d’accès.
L’activation de cette règle n’offre pas de protection supplémentaire si la protection LSA est activée, car la règle ASR et la protection LSA fonctionnent de la même façon. Toutefois, lorsque la protection LSA ne peut pas être activée, cette règle peut être configurée pour fournir une protection équivalente contre les programmes malveillants qui ciblent lsass.exe
.
Conseil
- Les événements d’audit ASR ne génèrent pas de notifications toast. Toutefois, étant donné que la règle ASR LSASS produit un grand volume d’événements d’audit, dont presque tous sont sans risque d’être ignorés lorsque la règle est activée en mode bloc, vous pouvez choisir d’ignorer l’évaluation du mode audit et de passer au déploiement en mode bloc, en commençant par un petit ensemble d’appareils et en développant progressivement pour couvrir le reste.
- La règle est conçue pour supprimer les rapports/toasts de blocs pour les processus conviviaux. Il est également conçu pour supprimer des rapports pour les blocs en double. Par conséquent, la règle est bien adaptée pour être activée en mode bloc, que les notifications toast soient activées ou désactivées.
- L’ASR en mode d’avertissement est conçu pour présenter aux utilisateurs une notification toast de bloc qui inclut un bouton « Débloquer ». En raison de la nature « sûre à ignorer » des blocs ASR LSASS et de leur grand volume, le mode WARN n’est pas recommandé pour cette règle (que les notifications toast soient activées ou désactivées).
Remarque
Dans ce scénario, la règle ASR est classée comme « non applicable » dans les paramètres Defender pour point de terminaison du portail Microsoft Defender. La règle ASR Bloquer le vol d’informations d’identification du sous-système d’autorité de sécurité locale Windows ne prend pas en charge le mode WARN. Dans certaines applications, le code énumère tous les processus en cours d’exécution et tente de les ouvrir avec des autorisations exhaustives. Cette règle refuse l’action d’ouverture du processus de l’application et enregistre les détails dans le journal des événements de sécurité. Cette règle peut générer beaucoup de bruit. Si vous avez une application qui énumère simplement LSASS, mais n’a aucun impact réel sur les fonctionnalités, il n’est pas nécessaire de l’ajouter à la liste d’exclusions. En soi, cette entrée du journal des événements n’indique pas nécessairement une menace malveillante.
nom de Intune :Flag credential stealing from the Windows local security authority subsystem
nom de Configuration Manager :Block credential stealing from the Windows local security authority subsystem
GUID : 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Type d’action de chasse avancée :
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
Dépendances : antivirus Microsoft Defender
Problèmes connus : Ces applications et la règle « Bloquer le vol d’informations d’identification du sous-système d’autorité de sécurité locale Windows » sont incompatibles :
Nom de l’application | Pour plus d’informations |
---|---|
Synchronisation du mot de passe Dirsync de la quête | La synchronisation de mot de passe Dirsync ne fonctionne pas lorsque Windows Defender est installé, erreur : « Échec de VirtualAllocEx : 5 » (4253914) |
Pour obtenir un support technique, contactez l’éditeur du logiciel.
Bloquer le contenu exécutable du client de messagerie et de la messagerie web
Cette règle empêche les e-mails ouverts dans l’application Microsoft Outlook, ou Outlook.com et d’autres fournisseurs de messagerie web populaires de propager les types de fichiers suivants :
- Fichiers exécutables (tels que .exe, .dll ou .scr)
- Fichiers de script (tels qu’un fichier .ps1 PowerShell, Visual Basic .vbs ou JavaScript .js)
nom de Intune :Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager nom :Block executable content from email client and webmail
GUID : be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Type d’action de chasse avancée :
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
Dépendances : antivirus Microsoft Defender
Remarque
La règle Bloquer le contenu exécutable du client de messagerie et de la messagerie web contient les descriptions alternatives suivantes, selon l’application que vous utilisez :
- Intune (profils de configuration) : exécution du contenu exécutable (exe, dll, ps, js, vbs, etc.) supprimé de l’e-mail (webmail/client de messagerie) (aucune exception).
- Configuration Manager : Bloquer le téléchargement de contenu exécutable à partir des clients de messagerie et de messagerie web.
- stratégie de groupe : bloquer le contenu exécutable du client de messagerie et de la messagerie web.
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance
Cette règle empêche le lancement des fichiers exécutables, tels que .exe, .dll ou .scr. Par conséquent, le lancement de fichiers exécutables non approuvés ou inconnus peut être risqué, car il peut ne pas être clair au départ si les fichiers sont malveillants.
Importante
Vous devez activer la protection fournie par le cloud pour utiliser cette règle.
La règle Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste approuvée avec GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
, appartient à Microsoft et n’est pas spécifiée par les administrateurs. Cette règle utilise la protection fournie par le cloud pour mettre à jour régulièrement sa liste approuvée.
Vous pouvez spécifier des fichiers ou dossiers individuels (à l’aide de chemins d’accès aux dossiers ou de noms de ressources complets), mais vous ne pouvez pas spécifier les règles ou exclusions qui s’appliquent.
nom de Intune :Executables that don't meet a prevalence, age, or trusted list criteria
nom de Configuration Manager :Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID : 01443614-cd74-433a-b99e-2ecdc07bfc25
Type d’action de chasse avancée :
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
Dépendances : antivirus Microsoft Defender, protection cloud
Bloquer l’exécution de scripts potentiellement obfusqués
Cette règle détecte les propriétés suspectes dans un script obfusqué.
Remarque
Les scripts PowerShell sont désormais pris en charge pour la règle « Bloquer l’exécution de scripts potentiellement obfusqués ».
Importante
Vous devez activer la protection fournie par le cloud pour utiliser cette règle.
L’obfuscation de script est une technique courante que les auteurs de programmes malveillants et les applications légitimes utilisent pour masquer la propriété intellectuelle ou réduire les temps de chargement des scripts. Les auteurs de programmes malveillants utilisent également l’obfuscation pour rendre le code malveillant plus difficile à lire, ce qui empêche l’examen de près par les humains et les logiciels de sécurité.
nom de Intune :Obfuscated js/vbs/ps/macro code
nom de Configuration Manager :Block execution of potentially obfuscated scripts
GUID : 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Type d’action de chasse avancée :
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
Dépendances : antivirus Microsoft Defender, interface d’analyse anti-programme malveillant (AMSI)
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé
Cette règle empêche les scripts de lancer du contenu téléchargé potentiellement malveillant. Les logiciels malveillants écrits en JavaScript ou VBScript agissent souvent comme un téléchargeur pour extraire et lancer d’autres programmes malveillants à partir d’Internet. Bien qu’elles ne soient pas courantes, les applications métier utilisent parfois des scripts pour télécharger et lancer des programmes d’installation.
nom de Intune :js/vbs executing payload downloaded from Internet (no exceptions)
nom de Configuration Manager :Block JavaScript or VBScript from launching downloaded executable content
GUID : d3e037e1-3eb8-44c8-a917-57927947596d
Type d’action de chasse avancée :
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
Dépendances : antivirus Microsoft Defender, AMSI
Empêcher les applications Office de créer du contenu exécutable
Cette règle empêche les applications Office, notamment Word, Excel et PowerPoint, de créer du contenu exécutable potentiellement malveillant, en empêchant l’écriture de code malveillant sur le disque. Les programmes malveillants qui abusent d’Office en tant que vecteur peuvent tenter de sortir d’Office et d’enregistrer des composants malveillants sur le disque. Ces composants malveillants survivraient à un redémarrage de l’ordinateur et persistaient sur le système. Par conséquent, cette règle se défend contre une technique de persistance courante. Cette règle bloque également l’exécution des fichiers non approuvés qui peuvent avoir été enregistrés par les macros Office autorisées à s’exécuter dans les fichiers Office.
nom de Intune :Office apps/macros creating executable content
nom de Configuration Manager :Block Office applications from creating executable content
GUID : 3b576869-a4ec-4529-8536-b80a7769e899
Type d’action de chasse avancée :
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
Dépendances : antivirus Microsoft Defender, RPC
Empêcher les applications Office d’injecter du code dans d’autres processus
Cette règle bloque les tentatives d’injection de code des applications Office dans d’autres processus.
Remarque
La règle AsR Empêcher les applications d’injecter du code dans d’autres processus ne prend pas en charge le mode WARN.
Importante
Cette règle nécessite le redémarrage de Microsoft 365 Apps (applications Office) pour que les modifications de configuration prennent effet.
Les attaquants peuvent tenter d’utiliser des applications Office pour migrer du code malveillant vers d’autres processus via l’injection de code, de sorte que le code peut se faire passer pour un processus propre. Il n’existe pas d’objectif commercial légitime connu pour l’utilisation de l’injection de code.
Cette règle s’applique à Word, Excel, OneNote et PowerPoint.
nom de Intune :Office apps injecting code into other processes (no exceptions)
nom de Configuration Manager :Block Office applications from injecting code into other processes
GUID : 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Type d’action de chasse avancée :
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
Dépendances : antivirus Microsoft Defender
Problèmes connus : Ces applications et la règle « Bloquer les applications Office d’injecter du code dans d’autres processus » sont incompatibles :
Nom de l’application | Pour plus d’informations |
---|---|
Avecto (BeyondTrust) Privilege Guard | Septembre-2024 (Plateforme : 4.18.24090.11 | Moteur 1.1.24090.11). |
Sécurité Heimdal | s/o |
Pour obtenir un support technique, contactez l’éditeur du logiciel.
Empêcher l’application de communication Office de créer des processus enfants
Cette règle empêche Outlook de créer des processus enfants, tout en autorisant les fonctions Outlook légitimes. Cette règle protège contre les attaques d’ingénierie sociale et empêche l’exploitation du code d’abuser des vulnérabilités dans Outlook. Il protège également contre les règles et les attaques de formulaires Outlook que les attaquants peuvent utiliser quand les informations d’identification d’un utilisateur sont compromises.
Remarque
Cette règle bloque les conseils de stratégie DLP et les info-bulles dans Outlook. Cette règle s’applique uniquement à Outlook et Outlook.com.
nom de Intune :Process creation from Office communication products (beta)
Configuration Manager nom : non disponible
GUID : 26190899-1602-49e8-8b27-eb1d0a1ce869
Type d’action de chasse avancée :
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
Dépendances : antivirus Microsoft Defender
Bloquer la persistance via un abonnement aux événements WMI
Cette règle empêche les programmes malveillants d’utiliser WMI à mauvais escient pour obtenir une persistance sur un appareil.
Importante
Les exclusions de fichiers et de dossiers ne s’appliquent pas à cette règle de réduction de la surface d’attaque.
Les menaces sans fichier emploient diverses tactiques pour rester cachées, éviter d’être vues dans le système de fichiers et obtenir un contrôle d’exécution périodique. Certaines menaces peuvent utiliser à mauvais escient le dépôt WMI et le modèle d’événement pour rester cachées.
Remarque
Si CcmExec.exe
(agent SCCM) est détecté sur l’appareil, la règle ASR est classée comme « non applicable » dans les paramètres de Defender pour point de terminaison dans le portail Microsoft Defender.
nom de Intune :Persistence through WMI event subscription
Configuration Manager nom : non disponible
GUID : e6db77e5-3df2-4cf1-b95a-636979351e5b
Type d’action de chasse avancée :
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
Dépendances : antivirus Microsoft Defender, RPC
Bloquer les créations de processus provenant des commandes PSExec et WMI
Cette règle empêche l’exécution des processus créés via PsExec et WMI . PsExec et WMI peuvent exécuter du code à distance. Il existe un risque de programmes malveillants qui abusent des fonctionnalités de PsExec et WMI à des fins de commande et de contrôle, ou de propager une infection sur le réseau d’un organization.
Avertissement
Utilisez cette règle uniquement si vous gérez vos appareils avec Intune ou une autre solution MDM. Cette règle n’est pas compatible avec la gestion via Microsoft Endpoint Configuration Manager, car elle bloque les commandes WMI que le client Configuration Manager utilise pour fonctionner correctement.
nom de Intune :Process creation from PSExec and WMI commands
nom de Configuration Manager : Non applicable
GUID : d1e49aac-8f56-4280-b9ba-993a6d77406c
Type d’action de chasse avancée :
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
Dépendances : antivirus Microsoft Defender
Bloquer le redémarrage de l’ordinateur en mode sans échec (préversion)
Cette règle empêche l’exécution de commandes pour redémarrer des machines en mode sans échec. Le mode sans échec est un mode de diagnostic qui charge uniquement les fichiers et pilotes essentiels nécessaires à l’exécution de Windows. Toutefois, en mode sans échec, de nombreux produits de sécurité sont désactivés ou fonctionnent dans une capacité limitée, ce qui permet aux attaquants de lancer davantage de commandes de falsification, ou simplement d’exécuter et de chiffrer tous les fichiers sur l’ordinateur. Cette règle bloque ces attaques en empêchant les processus de redémarrer les machines en mode sans échec.
Remarque
Cette fonctionnalité est actuellement en préversion. D’autres mises à niveau pour améliorer l’efficacité sont en cours de développement.
nom de Intune :[PREVIEW] Block rebooting machine in Safe Mode
nom de Configuration Manager : pas encore disponible
GUID : 33ddedf1-c6e0-47cb-833e-de6133960387
Type d’action de chasse avancée :
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
Dépendances : antivirus Microsoft Defender
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB
Avec cette règle, les administrateurs peuvent empêcher l’exécution de fichiers exécutables non signés ou non approuvés à partir de lecteurs usb amovibles, y compris les cartes SD. Les types de fichiers bloqués incluent les fichiers exécutables (tels que .exe, .dll ou .scr)
Importante
Les fichiers copiés à partir de l’USB vers le lecteur de disque sont bloqués par cette règle si et quand il est sur le point d’être exécuté sur le lecteur de disque.
nom de Intune :Untrusted and unsigned processes that run from USB
nom de Configuration Manager :Block untrusted and unsigned processes that run from USB
GUID : b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Type d’action de chasse avancée :
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
Dépendances : antivirus Microsoft Defender
Bloquer l’utilisation des outils système copiés ou usurpés d’identité (préversion)
Cette règle bloque l’utilisation des fichiers exécutables identifiés en tant que copies des outils système Windows. Ces fichiers sont des doublons ou des imposteurs des outils système d’origine. Certains programmes malveillants peuvent essayer de copier ou d’emprunter l’identité des outils système Windows pour éviter la détection ou obtenir des privilèges. L’autorisation de ces fichiers exécutables peut entraîner des attaques potentielles. Cette règle empêche la propagation et l’exécution de tels doublons et imposteurs des outils système sur les machines Windows.
Remarque
Cette fonctionnalité est actuellement en préversion. D’autres mises à niveau pour améliorer l’efficacité sont en cours de développement.
nom de Intune :[PREVIEW] Block use of copied or impersonated system tools
nom de Configuration Manager : pas encore disponible
GUID : c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Type d’action de chasse avancée :
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
Dépendances : antivirus Microsoft Defender
Bloquer la création de webshell pour les serveurs
Cette règle bloque la création de scripts d’interpréteur de commandes web sur Microsoft Server, rôle Exchange. Un script d’interpréteur de commandes web est un script spécifiquement conçu qui permet à un attaquant de contrôler le serveur compromis. Un interpréteur de commandes web peut inclure des fonctionnalités telles que la réception et l’exécution de commandes malveillantes, le téléchargement et l’exécution de fichiers malveillants, le vol et l’exfiltrage d’informations d’identification et d’informations sensibles, l’identification de cibles potentielles, etc.
nom de Intune :Block Webshell creation for Servers
GUID : a8f5898e-1dc8-49a9-9878-85004b8a61e6
Dépendances : antivirus Microsoft Defender
Bloquer les appels d’API Win32 à partir de macros Office
Cette règle empêche les macros VBA d’appeler des API Win32. Office VBA active les appels d’API Win32. Les programmes malveillants peuvent abuser de cette fonctionnalité, comme appeler des API Win32 pour lancer un shellcode malveillant sans écrire quoi que ce soit directement sur le disque. La plupart des organisations ne s’appuient pas sur la possibilité d’appeler des API Win32 dans leur fonctionnement quotidien, même si elles utilisent des macros d’autres façons.
nom de Intune :Win32 imports from Office macro code
nom de Configuration Manager :Block Win32 API calls from Office macros
GUID : 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Type d’action de chasse avancée :
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
Dépendances : antivirus Microsoft Defender, AMSI
Utiliser une protection avancée contre les rançongiciels
Cette règle fournit une couche supplémentaire de protection contre les rançongiciels. Il utilise à la fois les heuristiques client et cloud pour déterminer si un fichier ressemble à un ransomware. Cette règle ne bloque pas les fichiers qui ont une ou plusieurs des caractéristiques suivantes :
- Le fichier est déjà introuvable dans le cloud Microsoft.
- Le fichier est un fichier signé valide.
- Le fichier est suffisamment répandu pour ne pas être considéré comme un ransomware.
La règle a tendance à errer du côté de la prudence pour empêcher les rançongiciels.
Remarque
Vous devez activer la protection fournie par le cloud pour utiliser cette règle.
nom de Intune :Advanced ransomware protection
nom de Configuration Manager :Use advanced protection against ransomware
GUID : c1db55ab-c21a-4637-bb3f-a12568109d35
Type d’action de chasse avancée :
AsrRansomwareAudited
AsrRansomwareBlocked
Dépendances : antivirus Microsoft Defender, protection cloud
Voir aussi
- Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque
- Planifier le déploiement des règles de réduction de la surface d’attaque
- Règles de réduction de la surface d’attaque de test
- Activer les règles de réduction de la surface d’attaque
- Opérationnaliser les règles de réduction de la surface d’attaque
- Rapport sur les règles de réduction de la surface d’attaque
- Informations de référence sur les règles de réduction de la surface d’attaque
- Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.