Activer vos règles de réduction de la surface d’attaque dans Microsoft Defender pour les entreprises

Vos surfaces d’attaque sont toutes les emplacements et les façons dont le réseau et les appareils de votre organisation sont vulnérables aux cybermenaces et aux attaques. Les appareils non sécurisés, l’accès illimité à n’importe quelle URL sur un appareil d’entreprise et l’autorisation d’exécuter n’importe quel type d’application ou de script sur les appareils d’entreprise sont tous des exemples de surfaces d’attaque. Ils laissent votre entreprise vulnérable aux cyberattaques.

Pour protéger votre réseau et vos appareils, Microsoft Defender entreprise inclut plusieurs fonctionnalités de réduction de la surface d’attaque, notamment des règles de réduction de la surface d’attaque. Cet article explique comment configurer vos règles de réduction de la surface d’attaque et décrit les fonctionnalités de réduction de la surface d’attaque.

Règles ASR de protection standard

De nombreuses règles de réduction de la surface d’attaque sont disponibles. Vous n’avez pas besoin de les configurer tous en même temps. De plus, vous pouvez configurer certaines règles en mode audit pour voir comment elles fonctionnent pour votre organisation et les modifier ultérieurement pour qu’elles fonctionnent en mode bloc. Cela dit, nous vous recommandons d’activer les règles de protection standard suivantes dès que possible :

Ces règles aident à protéger votre réseau et vos appareils, mais ne doivent pas perturber les utilisateurs. Utilisez Intune pour configurer vos règles de réduction de la surface d’attaque.

Configurer des règles ASR à l’aide d’Intune

  1. Dans le Centre d’administration Microsoft Intune, accédez à Réduction de lasurface d’attaque desécurité> du point de terminaison.

  2. Choisissez Créer une stratégie pour créer une stratégie.

    • Pour Plateforme, choisissez Windows 10, Windows 11 et Windows Server.
    • Pour Profil, sélectionnez Règles de réduction de la surface d’attaque, puis choisissez Créer.
  3. Configurez votre stratégie comme suit :

    1. Spécifiez un nom et une description, puis choisissez Suivant.

    2. Pour au moins les trois règles suivantes, définissez chacune sur Bloquer :

      • Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows
      • Bloquer la persistance via un abonnement aux événements WMI
      • Bloquer les abus de conducteurs vulnérables exploités signés

      Sélectionnez Suivant.

    3. À l’étape Balises d’étendue , choisissez Suivant.

    4. À l’étape Affectations, choisissez les utilisateurs ou les appareils auxquels recevoir les règles, puis choisissez Suivant. (Nous vous recommandons de sélectionner Ajouter tous les appareils.)

    5. À l’étape Vérifier + créer , passez en revue les informations, puis choisissez Créer.

Conseil

Si vous préférez, vous pouvez d’abord configurer vos règles de réduction de la surface d’attaque en mode audit pour voir les détections avant que les fichiers ou les processus ne soient réellement bloqués. Pour plus d’informations sur les règles de réduction de la surface d’attaque, consultez Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque.

Afficher votre rapport de réduction de la surface d’attaque

Defender entreprise inclut un rapport de réduction de la surface d’attaque qui montre comment les règles de réduction de la surface d’attaque fonctionnent pour vous.

  1. Dans le volet de navigation du portail Microsoft Defender, choisissez Rapports.

  2. Sous Points de terminaison, choisissez Règles de réduction de la surface d’attaque. Le rapport s’ouvre et inclut trois onglets :

    • Détections, où vous pouvez afficher les détections qui se sont produites à la suite des règles de réduction de la surface d’attaque
    • Configuration, où vous pouvez afficher les données pour les règles de protection standard ou d’autres règles de réduction de la surface d’attaque
    • Ajouter des exclusions, où vous pouvez ajouter des éléments à exclure des règles de réduction de la surface d’attaque (utilisez les exclusions avec parcimonie ; chaque exclusion réduit votre niveau de protection de sécurité)

Pour en savoir plus sur les règles de réduction de la surface d’attaque, consultez les articles suivants :

Fonctionnalités de réduction de la surface d’attaque dans Defender pour les entreprises

Les règles de réduction de la surface d’attaque sont disponibles dans Defender pour les entreprises. Le tableau suivant récapitule les fonctionnalités de réduction de la surface d’attaque dans Defender pour les entreprises. Notez que d’autres fonctionnalités, telles que la protection nouvelle génération et le filtrage de contenu web, fonctionnent avec vos fonctionnalités de réduction de la surface d’attaque.

Fonctionnalité Comment le configurer
Règles de réduction de la surface d’attaque
Empêcher l’exécution d’actions spécifiques couramment associées à une activité malveillante sur des appareils Windows.
Activez vos règles de réduction de la surface d’attaque de protection standard (section de cet article).
Accès contrôlé aux dossiers
L’accès contrôlé aux dossiers permet uniquement aux applications approuvées d’accéder aux dossiers protégés sur les appareils Windows. Considérez cette fonctionnalité comme une atténuation des rançongiciels.
Configurez la stratégie d’accès contrôlé aux dossiers dans Microsoft Defender entreprise.
Protection du réseau
La protection réseau empêche les utilisateurs d’accéder à des domaines dangereux via des applications sur leurs appareils Windows et Mac. La protection réseau est également un composant clé du filtrage de contenu web dans Microsoft Defender pour les entreprises.
La protection réseau est déjà activée par défaut lorsque les appareils sont intégrés à Defender entreprise et que les stratégies de protection nouvelle génération dans Defender pour Entreprises sont appliquées. Vos stratégies par défaut sont configurées pour utiliser les paramètres de sécurité recommandés.
Protection web
La protection web s’intègre aux navigateurs web et fonctionne avec la protection réseau pour vous protéger contre les menaces web et le contenu indésirable. La protection web inclut le filtrage de contenu web et les rapports sur les menaces web.
Configurez le filtrage de contenu web dans Microsoft Defender pour les entreprises.
Protection du pare-feu
La protection du pare-feu détermine le trafic réseau autorisé à circuler vers ou depuis les appareils de votre organisation.
La protection pare-feu est déjà activée par défaut lorsque les appareils sont intégrés à Defender entreprise et que les stratégies de pare-feu dans Defender pour entreprises sont appliquées.

Étapes suivantes