Partager via


Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque

S’applique à :

Les surfaces d’attaque sont tous les endroits où votre organisation est vulnérable aux cybermenaces et aux attaques. Réduire votre surface d’attaque signifie protéger les appareils et le réseau de votre organisation, ce qui laisse aux attaquants moins de moyens d’attaque. La configuration des règles de réduction de la surface d’attaque de Microsoft Defender pour point de terminaison peut vous aider.

Les règles de réduction de la surface d’attaque ciblent certains comportements logiciels, tels que :

  • Lancement de fichiers exécutables et de scripts qui tentent de télécharger ou d’exécuter des fichiers
  • Exécution de scripts masqués ou suspects
  • Comportements que les applications ne se produisent généralement pas pendant le travail quotidien normal

En réduisant les différentes surfaces d’attaque, vous pouvez empêcher les attaques de se produire en premier lieu.

Cette collection de déploiement fournit des informations sur les aspects suivants des règles de réduction de la surface d’attaque :

  • exigences relatives aux règles de réduction de la surface d’attaque
  • planifier le déploiement des règles de réduction de la surface d’attaque
  • règles de réduction de la surface d’attaque de test
  • configurer et activer des règles de réduction de la surface d’attaque
  • bonnes pratiques relatives aux règles de réduction de la surface d’attaque
  • règles de réduction de la surface d’attaque de chasse avancée
  • observateur d’événements règles de réduction de la surface d’attaque

Étapes de déploiement des règles de réduction de la surface d’attaque

Comme pour toute nouvelle implémentation à grande échelle, susceptible d’avoir un impact sur vos opérations métier, il est important d’être méthodique dans votre planification et votre implémentation. Une planification et un déploiement minutieux des règles de réduction de la surface d’attaque sont nécessaires pour s’assurer qu’elles fonctionnent au mieux pour vos flux de travail clients uniques. Pour travailler dans votre environnement, vous devez planifier, tester, implémenter et opérationnaliser soigneusement les règles de réduction de la surface d’attaque.

Planifier les règles de réduction de la surface d’attaque de Microsoft Defender pour point de terminaison, tester les règles de réduction de la surface d’attaque, activer les règles de réduction de la surface d’attaque, maintenir les règles de réduction de la surface d’attaque.

Avertissement important pour le prédéploiement

Nous vous recommandons d’activer les trois règles de protection standard suivantes. Pour plus d’informations sur les deux types de règles de réduction de la surface d’attaque, consultez Règles de réduction de la surface d’attaque par type .

En règle générale, vous pouvez activer les règles de protection standard avec un impact minimal ou nul pour l’utilisateur final. Pour obtenir une méthode simple permettant d’activer les règles de protection standard, consultez Option de protection standard simplifiée.

Remarque

Pour les clients qui utilisent un HIPS non-Microsoft et qui passent aux règles de réduction de la surface d’attaque de Microsoft Defender pour point de terminaison, Microsoft conseille d’exécuter la solution HIPS parallèlement au déploiement des règles de réduction de la surface d’attaque jusqu’au moment où vous passez du mode Audit au mode Bloc. N’oubliez pas que vous devez contacter votre fournisseur d’antivirus non-Microsoft pour obtenir des recommandations d’exclusion.

Avant de commencer à tester ou à activer les règles de réduction de la surface d’attaque

Lors de votre préparation initiale, il est essentiel de comprendre les fonctionnalités des systèmes que vous mettez en place. La compréhension des fonctionnalités vous permet de déterminer quelles règles de réduction de la surface d’attaque sont les plus importantes pour protéger votre organisation. En outre, il existe plusieurs prérequis, que vous devez respecter pour préparer votre déploiement de réduction de la surface d’attaque.

Importante

Ce guide fournit des images et des exemples pour vous aider à décider comment configurer les règles de réduction de la surface d’attaque. ces images et exemples peuvent ne pas refléter les meilleures options de configuration pour votre environnement.

Avant de commencer, consultez Vue d’ensemble de la réduction de la surface d’attaque et Règles de réduction de la surface d’attaque de démystification - Partie 1 pour obtenir des informations de base. Pour comprendre les zones de couverture et l’impact potentiel, familiarisez-vous avec l’ensemble actuel de règles de réduction de la surface d’attaque ; consultez Informations de référence sur les règles de réduction de la surface d’attaque. Pendant que vous vous familiarisez avec l’ensemble des règles de réduction de la surface d’attaque, notez les mappages GUID par règle ; Consultez Règle de réduction de la surface d’attaque à la matrice GUID.

Les règles de réduction de la surface d’attaque ne sont qu’une des fonctionnalités de réduction de la surface d’attaque dans Microsoft Defender pour point de terminaison. Ce document décrit plus en détail le déploiement de règles de réduction de la surface d’attaque pour arrêter efficacement les menaces avancées telles que les rançongiciels gérés par l’homme et d’autres menaces.

Liste des règles de réduction de la surface d’attaque par catégorie

Le tableau suivant présente les règles de réduction de la surface d’attaque par catégorie :

Menaces polymorphes Mouvement latéral & vol d’informations d’identification Règles des applications de productivité Règles de messagerie Règles de script Règles d’erreur
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence (1 000 machines), d’âge ou de liste de confiance Bloquer les créations de processus provenant des commandes PSExec et WMI Empêcher les applications Office de créer du contenu exécutable Bloquer le contenu exécutable du client de messagerie et de la messagerie web Bloquer le code JS/VBS/PS/macro obfusqué Bloquer les abus de conducteurs vulnérables exploités [1]
Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe)[2] Empêcher les applications Office de créer des processus enfants Empêcher uniquement les applications de communication Office de créer des processus enfants Empêcher JS/VBS de lancer le contenu exécutable téléchargé
Utiliser une protection avancée contre les rançongiciels Bloquer la persistance via un abonnement aux événements WMI Empêcher les applications Office d’injecter du code dans d’autres processus Empêcher les applications de communication Office de créer des processus enfants
Empêcher Adobe Reader de créer des processus enfants

(1) L’utilisation abusive de blocs de pilotes signés vulnérables exploités est désormais disponible sousRéduction de la surface d’attaquede sécurité> du point de terminaison.

(2) Certaines règles de réduction de la surface d’attaque génèrent un bruit considérable, mais ne bloquent pas les fonctionnalités. Par exemple, si vous mettez à jour Chrome, Chrome accède lsass.exe; les mots de passe sont stockés dans lsass sur l’appareil. Toutefois, Chrome ne doit pas accéder à l’appareil local lsass.exe. Si vous activez la règle pour bloquer l’accès à lsass, vous voyez de nombreux événements. Ces événements sont de bons événements, car le processus de mise à jour logicielle ne doit pas accéder à lsass.exe. L’utilisation de cette règle empêche les mises à jour Chrome d’accéder à lsass, mais n’empêche pas Chrome de se mettre à jour. Cela vaut également pour les autres applications qui effectuent des appels inutiles à lsass.exe. La règle bloquer l’accès à lsass bloque les appels inutiles à lsass, mais ne bloque pas l’exécution de l’application.

Exigences de l’infrastructure de réduction de la surface d’attaque

Bien que plusieurs méthodes d’implémentation de règles de réduction de la surface d’attaque soient possibles, ce guide est basé sur une infrastructure composée de

  • Identifiant Microsoft Entra
  • Microsoft Intune
  • Appareils Windows 10 et Windows 11
  • Licences Microsoft Defender pour point de terminaison E5 ou Windows E5

Pour tirer pleinement parti des règles de réduction de la surface d’attaque et des rapports, nous vous recommandons d’utiliser une licence Microsoft Defender XDR E5 ou Windows E5 et A5. Pour plus d’informations, consultez Configuration minimale requise pour Microsoft Defender pour point de terminaison.

Remarque

Il existe plusieurs méthodes pour configurer des règles de réduction de la surface d’attaque. Les règles de réduction de la surface d’attaque peuvent être configurées à l’aide de : Microsoft Intune, PowerShell, stratégie de groupe, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. Si vous utilisez une configuration d’infrastructure différente de celle indiquée pour Configuration requise pour l’infrastructure, vous pouvez en savoir plus sur le déploiement de règles de réduction de la surface d’attaque à l’aide d’autres configurations ici : Activer les règles de réduction de la surface d’attaque.

Dépendances des règles de réduction de la surface d’attaque

Antivirus Microsoft Defender doit être activé et configuré en tant que solution antivirus principale, et doit être dans le mode suivant :

  • Solution antivirus/anti-programme malveillant principale
  • État : mode actif

Antivirus Microsoft Defender ne doit pas être dans l’un des modes suivants :

  • Passif
  • Mode passif avec détection et réponse de point de terminaison (EDR) en mode bloc
  • Analyse périodique limitée (LPS)
  • Désactivé

Pour plus d’informations, consultez Protection fournie par le cloud et Antivirus Microsoft Defender .

La protection cloud (MAPS) doit être activée pour activer les règles de réduction de la surface d’attaque

Antivirus Microsoft Defender fonctionne en toute transparence avec les services cloud Microsoft. Ces services de protection cloud, également appelés Microsoft Advanced Protection Service (MAPS), améliorent la protection en temps réel standard, offrant sans doute la meilleure défense antivirus. La protection cloud est essentielle pour empêcher les violations des programmes malveillants et un composant essentiel des règles de réduction de la surface d’attaque. Activez la protection fournie par le cloud dans Antivirus Microsoft Defender.

Les composants antivirus Microsoft Defender doivent être des versions actuelles pour les règles de réduction de la surface d’attaque

Les versions des composants antivirus Microsoft Defender suivantes ne doivent pas avoir plus de deux versions antérieures à la version la plus disponible :

  • Version de mise à jour de la plateforme antivirus Microsoft Defender : la plateforme antivirus Microsoft Defender est mise à jour mensuellement.
  • Version du moteur antivirus Microsoft Defender : le moteur de l’antivirus Microsoft Defender est mis à jour tous les mois.
  • Intelligence de sécurité de l’Antivirus Microsoft Defender : Microsoft met continuellement à jour le renseignement de sécurité Microsoft Defender (également appelé définition et signature) pour répondre aux menaces les plus récentes et affiner la logique de détection.

La mise à jour des versions de l’Antivirus Microsoft Defender permet de réduire les résultats faux positifs des règles de réduction de la surface d’attaque et améliore les fonctionnalités de détection de l’Antivirus Microsoft Defender. Pour plus d’informations sur les versions actuelles et sur la façon de mettre à jour les différents composants de l’Antivirus Microsoft Defender, consultez Prise en charge de la plateforme antivirus Microsoft Defender.

Avertissement

Certaines règles ne fonctionnent pas correctement si les scripts et les applications développés en interne non signés sont en forte utilisation. Il est plus difficile de déployer des règles de réduction de la surface d’attaque si la signature du code n’est pas appliquée.

Règles de réduction de la surface d’attaque de test

Activer les règles de réduction de la surface d’attaque

Opérationnaliser les règles de réduction de la surface d’attaque

Informations de référence sur les règles de réduction de la surface d’attaque

Référence

Des blogs

Démystifier les règles de réduction de la surface d’attaque - Partie 1

Démystification des règles de réduction de la surface d’attaque - Partie 2

Démystification des règles de réduction de la surface d’attaque - Partie 3

Démystifier les règles de réduction de la surface d’attaque - Partie 4

Collecte des règles de réduction de la surface d’attaque

Vue d’ensemble de la réduction de la surface d'attaque

Utiliser des règles de réduction de la surface d’attaque pour empêcher l’infection des programmes malveillants

Activer les règles de réduction de la surface d’attaque - Autres configurations

Informations de référence sur les règles de réduction de la surface d’attaque

FAQ sur la réduction de la surface d’attaque

Microsoft Defender

Résoudre des faux négatifs/positifs dans Microsoft Defender pour point de terminaison

Protection par le cloud et antivirus Microsoft Defender

Activer la protection fournie par le cloud dans Antivirus Microsoft Defender

Configurer et valider des exclusions en fonction de l’extension, du nom ou de l’emplacement

prise en charge de la plateforme Antivirus Microsoft Defender

Vue d’ensemble de l’inventaire dans le Centre d’administration Microsoft 365 Apps

Créer un plan de déploiement pour Windows

Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée

Attribuer des profils d’appareil dans Microsoft Intune

Sites de gestion

Centre d’administration Microsoft Intune

Réduction de la surface d’attaque

Configurations des règles de réduction de la surface d’attaque

Exclusions des règles de réduction de la surface d’attaque

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.